一、 什么是PDO
PDO全名PHP Data Object
PHP 数据对象 (PDO) 扩展为PHP访问数据库定义了一个轻量级的一致接口。
PDO 提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。
二、如何去使用PDO防范SQL注入?
/
防范sql注入这里使用quate()方法过滤特殊字符和通过预处理的一些方式以及bindParameter()方法绑定参数来防止SQL注入
/
三、 使用quate()方法防止sql注入。
Quate()方法返回带引号的字符串,过滤特殊字符
1、首先创建一个登陆界面来提交用户名和密码。
!DOCTYPE html>
2、然后创建后台处理PHP文件,获取用户名和密码,并在数据库中查询。基本的查询方法来查询。
header(‘content-type=text/html;charset=utf-8‘);
$username=$_POST[‘username‘];
$password=$_POST[‘password‘];
try{
$pdo=new PDO(‘mysql:host=localhost;dbname=pdotest‘,‘root‘,‘123‘);
$sql="select * from user where name=‘{$username}’ and password=‘{$password}’";
echo $sql."";
$row=$pdo->query($sql);
foreach ($row as $key => $value) {
print_r($value);
}
}catch(POOException $e){
echo $e->getMessage();
}
这个处理界面是由SQL注入的界面。
3、我们来测试一下
(1)在文本框中输入正确的用户名和密码,返回正常的信息
但是当我们进行注入的时候,返回的信息:
(2)用户名输入’ or 1=1 #,密码随便输入
将数据库中的用户信息以数组的形式全部显示了出来。