php的准备查询,php – 安全地使用预准备语句来查询数据库

最新推荐文章于 2021-04-04 02:48:07 发布
最新推荐文章于 2021-04-04 02:48:07 发布
阅读量65 收藏
点赞数
文章标签: php的准备查询

我可能弄错了,但我不相信你可以在PDO中提供字段作为参数.

为什么不将它指定为函数的参数?与用户提供的数据不同,字段是有限的,定义良好且不经常更改.如在

selectquery('name',$value);

并有你的查询

$field = "name";

$value = "joe";

function selectquery($field, $value)

{

global $dbcon;

$select=$dbcon->prepare("SELECT * FROM tester1 WHERE $field = :value");

if($select->execute(array(':value' => $value)));

//etcetera

由于您自己为函数调用提供字段名称,因此除非您担心自己会使用SQL注入攻击自己,否则这是安全的.

如果由于某些奇怪的原因,该字段的名称来自用户输入,您可以创建一个允许字段数组.这样,您就可以安全地进行注射,因为这些值只能来自您的数组.我不知道为什么字段名称来自用户输入,因此不受信任,除非您正在制作API?另外,可能有更好的方法来实现目标.

无论如何,这将是一个潜在的解决方案,使用白名单表名:

$field = "name";

$value = "joe";

$allowed_fields=array('name','other_name','sandwich');

function selectquery($field_name, $value)

{

global $dbcon,$allowed_fields;

if(!in_array($field_name,$allowed_fields)){ return false; }

else{ $field=$field_name; }

$select=$dbcon->prepare("SELECT * FROM tester1 WHERE $field = :value");

if($select->execute(array(':value' => $value)));

//etcetera

邹小樱
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用oracle数据库分页查询语句,各种数据库的分页查询语句
weixin_35935264的博客
04-10 5179
各种数据库的分页查询语句 1.oracle数据库分页select * from (select a.*,rownum rc from 表名 where rownum=endrow) a where a.rc=startrow2.DB2数据库分页Select * from (select rownumber() over() as rc,a.* from (select * from 表名 orde...
php+mysqli使用处理技术进行数据库查询的方法
10-24
主要介绍了php+mysqli使用处理技术进行数据库查询的方法,实例分析了php+mysqli处理技术的使用技巧,需要的朋友可以参考下
php+mysql查询prepare 与普通查询的性能对比
bobowava的博客
12-01 101
<?php class timer { public $StartTime = 0; public $StopTime = 0; public $TimeSpent = 0; function start(){ $this->StartTime = microtime(); } ...
mysqli使用处理技术进行数据库查询的方法
php菜鸟技术天地
05-12 2194
php5.6版本以上 这里实现查询所有 id>5 的 id,title,contents值: <?php $mysqli = new MySQLi("localhost","root","123456","liuyan"); if(!$mysqli){  die($mysqli->error); } //创建一个定义的对象 ?占位 $sql = "select id,titl
php处理查询数据库,php+mysqli使用处理技术进行数据库查询的方法_PHP
weixin_32211243的博客
04-04 236
本文实例讲述了php+mysqli使用处理技术进行数据库查询的方法。分享给大家供大家参考。具体如下:代码有些难度,需要基础知识比较扎实才能好理解,代码先放上来:这里实现查询所有 id>5 的 id,title,contents值:代码如下:$mysqli = new MySQLi("localhost","root","123456","liuyan");if(!$mysqli){die(...
php万能查询,PHP 与 mysql
weixin_28834765的博客
03-17 190
一、php 的 sql 注入攻击1.1、什么是 sql 注入攻击用户提交一段数据库查询代码,根据返回的结果,获得某些他想得到的数据。比如 :查询某个管理员是否存在,一般程序员会这么写$sql="select*fromuserwherename='luluyii'andpassword='****'";if(查询到){header("admin.php");}else{hea...
PHP正则:正向/反向搜索
追逐
03-04 2423
搜索是一个非获取匹配,不进行存储供以后使用。 1、正向搜索  "(?=xxxxx)","(?!xxxxx)" "(?=xxxxx)”:所在缝隙的右侧,必须能够匹配上 xxxxx 这部分的表达式, $str = 'windows NT windows 2003 windows xp'; preg_match('/windows (?=xp)/',$str,$res);
php如何查询数据库,如何在php查询mysql数据库数据
weixin_39559369的博客
03-11 2346
如何在php查询mysql数据库数据发布时间:2020-07-21 09:23:55来源:亿速云阅读:81作者:Leah本篇文章给大家分享的是有关如何在php查询mysql数据库数据,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。php查询mysql数据库数据的方法:首先用navicat新建数据库并建表;然后添加数据并与数据库连接...
php查询mysql数据库_php中如何查询mysql数据库数据?
weixin_39950764的博客
01-18 2232
php查询mysql数据库数据的方法:首先用navicat新建数据库并建表;然后添加数据并与数据库连接;接着用【mysql_select_db】函数选择要查询的数据库;最后将文件在浏览器中打开即可。php查询mysql数据库数据的方法:1、用navicat新建一个数据库database12、在database1数据库中新建一个表table23、在table2中添加新的数据4、新建一个名称为my...
php mysqli查询语句返回值类型实例分析
10-22
主要介绍了php mysqli查询语句返回值类型,结合实例形式分析了php+mysqli常用的查询、插入语句使用与返回值类型,需要的朋友可以参考下
PHP使用mysqli同时执行多条sql查询语句的实例
01-20
之前我们有介绍过如何在PHP5中使用mysqli的prepare操作数据库,使用mysqli更是支持多查询特性,请看下面这段php代码: <?php $mysqli = new mysqli(localhost,root,,123456); $mysqli->query(set names 'utf8');...
使用PHP访问MySQL数据库---查询数据表.pptx
06-05
使用PHP访问MySQL数据库 -----查询数据表 课程内容 数据定义语言(DDL) 数据操作语言(DML) 一、数据定义语言(DDL) 数据库模式定义语言(DDL),是用于描述数据库中要存储的现实世界实体的语言。一个数据库模式...
使用php语句将数据库*.sql文件导入数据库
01-20
最简单的php语句把数据库*.sql文件导入数据库 复制代码 代码如下: $sql=file_get_contents(“text.sql”); //把SQL语句以字符串读入$sql $a=explode(“;”,$sql); //用explode()函数把‍$sql字符串以“;”...
基于matlab实现人工免疫算法的解决TSP问题的方法
最新发布
05-21
基于matlab实现人工免疫算法的解决TSP问题的方法,体现了免疫算法在进化计算过程中的抗原学习、记忆机制、浓度调节机制以及多样性抗体保持策略等优良特性.rar
麦肯锡图表绘制培训.pptx
05-21
麦肯锡图表绘制培训.pptx
Java_Android的自由轻量级流媒体前端.zip
05-21
Java_Android的自由轻量级流媒体前端
node-v18.20.2-linux-arm64
05-21
node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64 node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64 node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64 node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64 node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64 node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64 node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64 node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64 node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64
华为的OD(Organizational Development)
05-21
华为的OD(Organizational Development)
从左到右的流水灯.PWI
05-21
毕设&课设&项目&实训- 【项目资源】: 包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。 包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。 【项目质量】: 所有源码都经过严格测试,可以直接运行。 功能在确认正常工作后才上传。 【适用人群】: 适用于希望学习不同技术领域的小白或进阶学习者。 可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【附加价值】: 项目具有较高的学习借鉴价值,也可直接拿来修改复刻。 对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。 【沟通交流】: 有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。 鼓励下载和使用,并欢迎大家互相学习,共同进步。
PHP连接Mysql数据库的查询语句
04-25
好的,您想了解如何在PHP中连接MySQL数据库并执行查询语句对吗?可以采用以下步骤: 1. 建立数据库连接 使用mysqli_connect()函数或PDO类中的构造函数来建立数据库连接。 2. 执行查询语句 使用mysqli_query()函数或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值