pdo mysql 防注入_记录一下学习PDO技术防范SQL注入的方法

最新推荐文章于 2024-06-20 20:49:37 发布
最新推荐文章于 2024-06-20 20:49:37 发布
阅读量333 收藏 1
点赞数
文章标签: pdo mysql 防注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32512451/article/details/113472397
版权

一、 什么是PDO

PDO全名PHP Data Object

PHP 数据对象 (PDO) 扩展为PHP访问数据库定义了一个轻量级的一致接口。

PDO 提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。

二、如何去使用PDO防范SQL注入?

/

防范sql注入这里使用quate()方法过滤特殊字符和通过预处理的一些方式以及bindParameter()方法绑定参数来防止SQL注入

/

三、 使用quate()方法防止sql注入。

Quate()方法返回带引号的字符串,过滤特殊字符

1、首先创建一个登陆界面来提交用户名和密码。

!DOCTYPE html>

2、然后创建后台处理PHP文件,获取用户名和密码,并在数据库中查询。基本的查询方法来查询。

header(‘content-type=text/html;charset=utf-8‘);

$username=$_POST[‘username‘];

$password=$_POST[‘password‘];

try{

$pdo=new PDO(‘mysql:host=localhost;dbname=pdotest‘,‘root‘,‘123‘);

$sql="select * from user where name=‘{$username}’ and password=‘{$password}’";

echo $sql."";

$row=$pdo->query($sql);

foreach ($row as $key => $value) {

print_r($value);

}

}catch(POOException $e){

echo $e->getMessage();

}

这个处理界面是由SQL注入的界面。

3、我们来测试一下

(1)在文本框中输入正确的用户名和密码,返回正常的信息

018d1716e0491d2349abf97ebeadb477.png

但是当我们进行注入的时候,返回的信息:

(2)用户名输入’ or 1=1 #,密码随便输入

47b3786fa54170cefa57772b9c58707a.png

将数据库中的用户信息以数组的形式全部显示了出来。

最低0.47元/天 解锁文章
036015
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pdo调用方法以及sql注入原理
dengjiexian123的专栏
12-24 1万+
前言 在web站点中,经常会遇到各种各样的网络攻击,其中sql注入是非常常见的一种,所以需要对sql注入进行护。 目前许多站点服务端基本采用php+mysql的方式。对应php连接mysq而言,l有三种方式:mysql扩展、mysqli、pdo。前两者不在此多说,网上有较多的学习资料。今天我们主要要讲解的是php如何通过pdo连接mysql数据库,以及为什么使用pdo连接mysql数据库具有
PDOmysql注入(三种方式)
qq_36910975的博客
05-18 698
文章目录PDO的简述mysql的措施 PDO的简述 pdo数据对象扩展是php访问数据库的一个轻量级接口,PDO 提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。 mysql的措施 使用quote过滤特殊字符,为SQL语句中的字符串添加引号,转为字符串 $dbms='mysql'; //数据库类型 $host='127.0.0.1'; //数据库主机名 $dbName='test'; //使用的数据库 $user='root'
PDO注入原理分析以及使用PDO的注意事项总结
12-18
本文详细讲述了PDO注入原理分析以及使用PDO的注意事项,分享给大家供大家参考。具体分析如下: 我们都知道,只要合理正确使用PDO,可以基本上SQL注入的产生,本文主要回答以下两个问题: 为什么要使用PDO而不是mysql_connect? 为何PDO注入? 使用PDO注入的时候应该特别注意什么?   一、为何要优先使用PDO? PHP手册上说得很清楚: Prepared statements and stored procedures Many of the more mature databases support the concept of prepared stateme
PDO预处理SQL注入
路虽远,行将至。事虽难,做必达。
04-07 6381
PDO可以被认作是一种通过编译SQL语句模板来运行SQL语句的机制。 查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编译/优化周期。简言之,预处理语句占用更少的资源,因而运行得更快。 提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,可以
PDO预编译与sql注入
最新发布
qq_64395221的博客
06-20 975
刚学web安全的时候学到sql注入御,那些文章基本上都会说利用pdo预编译就可以近乎完美sql注入,或者看到一些渗透经验贴,遇到sql经过预编译的网站师傅们总是会建议赶紧换个站,那么预编译究竟能不能完美sql注入,或者说预编译下的sql注入有什么奇技淫巧吗?首先是第一个问题,为什么预编译或者说参数化查询可以sql注入呢?我之前看过的一个面经上是这么写的:使用参数化查询数据库服务器不会把参数的内容当作 sql 指令的一部分来执行,是在数据库完成 sql 指令的编译后才套用参数运行。
PHP PDO SQL注入
yyt8yyt8的专栏
03-28 2182
使用PDO的好处: 1> SQL注入 2> 提高执行效率 每条SQL执行前,MYSQL数据库都需要先进行编译(即便是一个空格也可能引起重新编译)。在循环执行多条数据时,使用prepare方式传入不同参数可以减少编译时间 大部分常见数据库都支持prepare语句,即便数据库不支持,pdo也会采用模拟的方式来实现,简单来说就是pdo自己对数据做quote,然后把结果拼接成sql再执行
PHP使用PDO实现mysql注入功能详解
10-15
下面将详细讲解如何使用PDO实现MySQL注入功能。 1. **理解SQL注入攻击** SQL注入攻击是黑客通过输入恶意的SQL代码,利用程序对用户输入数据未经充分过滤或验证,导致程序执行非预期的数据库操作。在上述例子中...
pdo_mysql.rar_PDO_pdo_mysql.so
09-23
此外,PDO还提供了预处理语句,这可以SQL注入攻击,提高了安全性。 描述中提到的"php常用拓展,使用PDO链接数据库时必须用到",这意味着PDO_MYSQL是PHP开发者在处理MySQL数据库时不可或缺的一部分。当你在PHP...
使用PDOsql注入的原理分析
09-09
标题中的“使用PDOSQL注入的原理分析”指的是在PHP编程中,使用PDO(PHP Data Objects)扩展来SQL注入攻击的技术SQL注入是一种常见的安全威胁,它允许攻击者通过输入恶意构造的SQL代码来操纵数据库。PDO提供...
php_pdo_mysql.dll_dll_PDO_MYSQL_php_
09-29
1. **安全性**:PDO提供了预处理语句,可以SQL注入攻击。 2. **移植性**:PDO接口设计为与多种数据库系统兼容,使得代码更容易在不同数据库之间迁移。 3. **错误处理**:PDO支持异常处理,使得错误处理更规范和...
Php中用PDO查询Mysql来避免SQL注入风险的方法
10-27
标题中的“PHP中用PDO查询MySQL来避免SQL注入风险的方法”指的是使用PHP的PDO(PHP Data Objects)扩展来执行数据库查询,从而降低SQL注入的风险。SQL注入是一种常见的网络安全威胁,黑客可以通过构造恶意输入来篡改...
pdo通过预处理语句sql注入
云影杳杳的博客
11-25 4581
本文会通过一个简单的登录验证来演示通过预处理语句注入。 数据库:test; 创建表:CREATE TABLE USER( id INT UNSIGNED AUTO_INCREMENT KEY, username VARCHAR(20) NOT NULL, password CHAR(20) NOT NULL, email CHAR(20) NOT NULL);向表中插入一条数据:INS
php mysql pdo 注入_PDO方式连接mysql可以注入的原因
weixin_35056480的博客
01-19 101
$stmt = $pdo->prepare('select * from user where id=?');$id = 1;$stmt->bindParam(1,$id);$stmt - >execute();这种情况下,PHP只是简单的将sql语句发送给mysql server,这与我们平时使用mysql_real_escape_string将字符串进行转义,再拼接成SQL...
PDO方式连接mysql可以注入的原因
黑猫mm的博客
05-04 456
1.  $stmt = $pdo->prepare('select * from user where id=?');     $id = 1;     $stmt->bindParam(1,$id);     $stmt - >execute(); 这种情况下,PHP只是简单的将sql语句发送给mysql  server,这与我们平时使用mysql_real_escape_st...
PDO预处理是如何SQL注入
y0un9er
05-13 2140
通过日志分析PDO是如何SQL注入
PDO注入原理分析以及使用PDO的注意事项
老张的自言自语
03-24 321
  我们都知道,只要合理正确使用PDO,可以基本上SQL注入的产生,本文主要回答以下两个问题: 为什么要使用PDO而不是mysql_connect? 为何PDO注入? 使用PDO注入的时候应该特别注意什么?   一、为何要优先使用PDO? PHP手册上说得很清楚: Prepared statements and stored proceduresMany of the...
简单的PDO技术以及预处理方法SQL注入
qq_43592364的博客
09-22 1278
SQL注入是十大漏洞之一,危害程度高,可能会导致数据库中的信息泄露,用户得到管理员权限等安全隐患 产生SQL注入点的原因有多种多样,但归根结底是采用了动态拼接SQL语句的方法并且没有做好相应的过滤用户数据的措施,例如 <?php $name = $_POST['userName']; $password = $_POST['userPassword']; if...
网络攻击(SQL攻击、XSS、CSRF、DDos)
哈尼熊熊的博客
03-14 4099
1)   SQL注入攻击(SQLInjection)攻击方法: 攻击者在HTTP请求中注入恶意SQL命令,服务器用请求参数构造数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。防范方法: 1.      检查变量数据类型和格式,过滤特殊语句和XSS攻击一样,请求参数消毒是一种比较简单粗暴又有效的手段。通过正则匹配,过滤请求数据中可能注入的SQL,如:drop table 等。2.   ...
网络渗透测试实验三 XSS和SQL注入
weixin_62599268的博客
11-22 694
网络渗透测试实验三 XSS和SQL注入
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值