mysql bind param_mysql绑定参数bind_param原理以及防SQL注入

最新推荐文章于 2024-04-17 16:05:44 发布
最新推荐文章于 2024-04-17 16:05:44 发布
阅读量1k 收藏 2
点赞数 1
文章标签: mysql bind param
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32059869/article/details/113213607
版权

下面我们来模拟一个用户登录的过程..

$username = "aaa";

$pwd = "pwd";

$sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'";

echo $sql; //输出 SELECT * FROM table WHERE username = 'aaa' AND pwd = 'pwd'

?>

这样去执行这个sql语句.显然是可以查询出来东西的.返回用户的这一列.登录成功!!

然后我改一下..把密码改一下.随便一个值.如下.我改成了ppp.

$pwd = 'ppp';

$sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'";

echo $sql; //输出 SELECT * FROM table WHERE username = 'aaa' AND pwd = 'ppp'

?>

这样很显然.如果去执行这个SQL语句..是查询不到东西的.也就是密码错误.登录失败!!

但是有的人总是不老实的.他们会想尽一切办法来进行非法的登录.所谓非法就是在他不知道用户名密码的时候进行登录.并且登录成功..

那么他们所做的原理是什么呢??其实原理都是利用SQL语句..SQL语句强大的同时也给我们带来了不少麻烦..

我来举个最简单的例子.我们要运用到的SQL关键字是or

还是上面的代码.我们只要修改一下密码即可

$username = "aaa";

$pwd = "fdsafda' or '1'='1"; //前面的密码是瞎填的..后来用or关键字..意思就是无所谓密码什么都执行

$sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'";

echo $sql; //输出 SELECT * FROM table WHERE username = 'aaa' AND pwd = 'fdsafda' or '1'='1'

?>

执行一下这个SQL语句..可怕的事情发生了..竟然可以查询到这一行数据..也就是登录成功了..

这是多么可怕的事情..

PHP为了解决这个问题.magic_quotes state..就是PHP会自动过滤传过来的GET.POST等等.

题外话.实践证明这个东西是畸形的..大部分程序不得不为判断此功能而耗费了很多代码..

在Java中可没有这个东西..那么Java中如何防止这种SQL注入呢??

Java的sql包中提供了一个名字叫PreparedStatement的类.

这个类就是我要说的绑定参数!

什么叫绑定参数??我继续给大家举例..(我用PHP举例)

$username = "aaa";

$pwd = "pwd";

$sql = "SELECT * FROM table WHERE username = ? AND pwd = ?";

bindParam($sql, 1, $username, 'STRING'); //以字符串的形式.在第一个问号的地方绑定$username这个变量

bindParam($sql, 2, $pwd, 'STRING'); //以字符串的形式.在第二个问号的地方绑定$pwd这个变量

echo $sql;

?>

当然.到此.你肯定不知道会输出什么..更无法知道绑定参数有什么好处!这样做的优势是什么.更不知道bindParam这个函数到底做了什么.

下面我简单的写一下这个函数:

/**

* 模拟简单的绑定参数过程

*

* @param string $sql SQL语句

* @param int $location 问号位置

* @param mixed $var 替换的变量

* @param string $type 替换的类型

*/

$times = 0;

//这里要注意,因为要“真正的"改变$sql的值,所以用引用传值

function bindParam(&$sql, $location, $var, $type) {

global $times;

//确定类型

switch ($type) {

//字符串

default: //默认使用字符串类型

case 'STRING' :

$var = addslashes($var); //转义

$var = "'".$var."'"; //加上单引号.SQL语句中字符串插入必须加单引号

break;

case 'INTEGER' :

case 'INT' :

$var = (int)$var; //强制转换成int

//还可以增加更多类型..

}

//寻找问号的位置

for ($i=1, $pos = 0; $i<= $location; $i++) {

$pos = strpos($sql, '?', $pos+1);

}

//替换问号

$sql = substr($sql, 0, $pos) . $var . substr($sql, $pos + 1);

}

?>

注:由于得知道去除问号的次数..所以我用了一个global来解决.如果放到类中就非常容易了.弄个私有属性既可

通过上面的这个函数.我们知道了..绑定参数的防注入方式其实也是通过转义进行的..只不过是对于变量而言的..

我们来做一个实验:

$times = 0;

$username = "aaaa";

$pwd = "123";

$sql = "SELECT * FROM table WHERE username = ? AND pwd = ?";

bindParam($sql, 1, $username, 'STRING'); //以字符串的形式.在第一个问号的地方绑定$username这个变量

bindParam($sql, 2, $pwd, 'INT'); //以字符串的形式.在第二个问号的地方绑定$pwd这个变量

echo $sql; //输出 SELECT * FROM table WHERE username = 'aaaa' AND pwd = 123

?>

可以看到.生成了非常正规的SQL语句.那么好.我们现在来试下刚才被注入的那种情况

$times = 0;

$username = "aaa";

$pwd = "fdsafda' or '1'='1";

$sql = "SELECT * FROM table WHERE username = ? AND pwd = ?";

bindParam($sql, 1, $username, 'STRING'); //以字符串的形式.在第一个问号的地方绑定$username这个变量

bindParam($sql, 2, $pwd, 'STRING'); //以字符串的形式.在第二个问号的地方绑定$pwd这个变量

echo $sql; //输出 SELECT * FROM table WHERE username = 'aaa' AND pwd = 'fdsafda\' or \'1\'=\'1'

?>

可以看到.pd内部的注入已经被转义.当成一个完整的字符串了..这样的话.就不可能被注入了.

转于http://blog.csdn.net/wusuopubupt/article/details/9668501

陈允信
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql绑定参数_MySQL数据库操作中参数绑定的使用
weixin_30950075的博客
01-18 1083
主要是总结一下进行常用数据库查询(操作)时常常用到的包括PDO和mysqli中应该注意的参数绑定,以降低被sql注入的风险。在mysqli连接数据库时,使用函数bind_param()。使用范例:$mysqli = new mysqli('localhost', 'my_user', 'my_password', 'world');/* check connection */if (mysqli_...
用PDO实现 mysql 参数绑定
庹小智的博客
03-01 258
pdo支持两种参数绑定方案: 1、如果sql‘语句中用的是?号作为占位符,那么在bindParam参数中,第一个参数就以占位符的顺序填写,比如1代表第一个?号的值 2、如果sql语句中用的是 " :变量名 "作为占位符,那么bingParam参数中,第一个参数就是“ :变量名 ” PS:bindParam函数:par1,占位符标识,par2:值(必须以变量形式体现,否则报:Cannot pass parameter 2),par3:值的模式 有 PDO::PARAM_INT,PDO::PARAM
PHP PDO bindParambindValue 有什么区别
allway2的博客
09-13 661
javascript代码。javascript代码。
sqlalchemy bindparam的简单使用
最新发布
youhebuke225的博客
04-17 470
等,这取决于你的数据库列的数据类型。如果省略类型指定,SQLAlchemy 会尝试根据传入的值自动推断类型,但这可能不是总是可靠的,特别是在处理复杂类型或需要明确类型转换的场景时。还可以用来指定参数的类型,这在某些情况下可能是必要的,尤其是当 SQLAlchemy 需要知道如何正确地处理或转换参数值时。然而,在大多数情况下,当你使用 SQLAlchemy 的 ORM 或表达式语言时,你不需要直接使用。构造器来执行原生 SQL 时,或者在使用表达式语言构建复杂的查询时,你可能会需要用到。
mysql bind param_PHP Mysqli_stmt->bind_param报错的原因与解决办法
weixin_39842271的博客
01-27 1435
最近由于升级PHP版本导致wordpress的一个插件运行时报错,也没有其他插件可供替代。俗话说,自己动手,丰衣足食。于是我开始自己编写插件。插件需要用到数据库中的内容,于是我编写查询查询语句,使用了据说较为安全的mysqli::prepare方法。但是有一个报错困扰了我很久。报错内容为“Fatal error: Uncaught Error: Call to a member function ...
php mysql_real_escape_string addslashes及mysql绑定参数SQL注入攻击
12-18
php mysql_real_escape_string addslashes及mysql绑定参数SQL注入攻击 phpSQL注入攻击一般有三种方法: 使用mysql_real_escape_string函数 使用addslashes函数 使用mysql bind_param() 本文章向大家详细...
php中bind_param()函数用法分析
10-20
主要介绍了php中bind_param()函数用法,简单分析了bind_param()函数的功能、参数、使用方法与相关注意事项,需要的朋友可以参考下
MYSQL_C_API.rar_MYSQL_mysql c++
09-19
- `mysql_stmt_bind_param()`:绑定参数到预处理语句。 - `mysql_stmt_execute()`:执行预处理语句。 - `mysql_stmt_fetch()`:从结果集中获取一行数据。 7. **性能优化**: - `mysql_set_server_option()`:...
MySQL_C_API.rar_API_mysql_doc_mysql api_mysql c语言
09-19
本资源“MySQL_C_API.rar_API_mysql_doc_mysql api_mysql c语言”包含了关于MySQL C API的详细文档,对于进行C语言编程并与MySQL数据库集成的开发者来说,是非常宝贵的参考资料。 在MySQL的C API中,主要包含以下几...
bindParam()方法绑定参数
文刂東敏
10-11 7042
<?php header('content-type:text/html;charset=utf-8'); try{ /************---bindParam绑定参数 -- 当使用多sql 语句的时候可以用************/ // $name=" 'or 1=1 #"; $name="张三"; $pwd='123'; $pdo=new PDO
php bind_param()函数
苦艾文艺
10-04 1万+
从字面上不难理解,绑定参数;下面我通过一个绑定参数的例子讲一下: for example: bind_param(“sss”, firstname,firstname, lastname, $email); 1:该函数绑定了 SQL 的参数,且告诉数据库参数的值。 “sss” 参数列处理其余参数的数据类型。s 字符告诉数据库该参数为字符串。 参数有以下四种类型:
【举例】bindParam()和bindValue()的区别
这个人很懒,没有描述。
05-17 324
在使用PDO对象绑定参数到SQL语句时,bindParam()和bindValue()方法的区别
php bind_param,php – 在mysqli bind_param绑定动态变量
weixin_39934063的博客
03-18 231
当我尝试下面的代码时,它会给我一个警告mysqli_stmt::bind_param(): Number of elements in type definition string doesn't match number of bind variables$stmt = $mysqli->prepare('SELECT * FROM users WHERE lname = ? AND fn...
使用bind进行动态模糊查询
beidaol的专栏
06-15 1264
转自:https://blog.csdn.net/yangshangwei/article/details/80073978 https://www.cnblogs.com/kangkaii/p/8421837.html 概述 bind标签可以使用OGNL表达式创建一个变量并将其绑定到上下文中。 用法 <select id="selectSysUsersAdvancedWithW...
mysql使用bind_param()参数绑定SQL注入攻击
luyaran的博客
12-01 3117
什么是sql注入攻击 在阅读这篇文章之前,我们必须要了解sql注入攻击的原理,下面我们使用一个简单的实例来介绍sql注入攻击,以php语言为例: $username="manongjc"; $pwd="123"; $sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'"; 此时sql语句为:
mysql bind param_php中bind_param()函数用法分析
weixin_42395426的博客
01-19 376
本文实例讲述了php中bind_param()函数用法。分享给大家供大家参考,具体如下:从字面上不难理解,绑定参数;下面我通过一个绑定参数的例子讲一下:for example:bind_param("sss", firstname,lastname, $email);1. 该函数绑定了 SQL 的参数,且告诉数据库参数的值。 "sss" 参数列处理其余参数的数据类型。s 字符告诉数据库该参数为字...
mysql绑定参数bind_param原理以及SQL注入
热门推荐
wusuopuBUPT的专栏
07-31 4万+
原文地址 :http://hi.baidu.com/woyigui/item/afc6ec2efaa49f0f73863e2e 绑定参数原理以及SQL注入.. 假设我们的用户表中存在一行.用户名字段为username.值为aaa.密码字段为pwd.值为pwd.. 下面我们来模拟一个用户登录的过程.. $username = "aaa";  $pwd = "pwd
mysql_stmt_free_result mysql_errno mysql_close mysql_init mysql_options mysql_real_connect mysql_autocommit mysql_set_character_set mysql_rollback mysql_stmt_close mysql_stmt_errno mysql_stmt_free_result mysql_stmt_bind_param mysql_stmt_bind_result mysql_stmt_execute mysql_stmt_fetch
05-31
- mysql_stmt_bind_param:将变量绑定MySQL 语句的参数上。 - mysql_stmt_bind_result:将变量绑定MySQL 语句的结果上。 - mysql_stmt_execute:执行 MySQL 语句。 - mysql_stmt_fetch:获取 MySQL 语句的下一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值