php pdo抵御sql注入,php防sql注入类(phppdo防止sql注入的类)

最新推荐文章于 2021-09-02 17:12:17 发布
最新推荐文章于 2021-09-02 17:12:17 发布
阅读量92 收藏
点赞数
文章标签: php pdo抵御sql注入
这个博客展示了如何使用PDO(PHP Data Objects)扩展进行数据库操作,包括插入(add)、删除(delete)、更新(update)和查询(select)数据的方法。代码中包含了SQL语句的拼接和预处理,确保了SQL注入的安全性。
摘要由CSDN通过智能技术生成

class Model{

protected $tableName="";//表名称

protected $pOb;//pdo类对象

function __construct(){

$pdo=new PDO("mysql:host=".DB_HOST.";dbname=".DB_NAME,DB_USERNAME,DB_PASSWORD);

$pdo->exec("set names ".DB_CHARSET);

$this->pOb=$pdo;

}

/*

* 作用:增

* 参数:array $arr exp:array('字段名'=>值,'字段名'=>值,....)

* return:int|false

*/

function add($arr){

//拼sql语句

$kArr=array_keys($arr);

$kStr=join(",",$kArr);

$vArr=array_values($arr);

$pStr = '';

foreach ($vArr as $s=>$y){

$vname = "p".$s;

$pStr.=':'.$vname.',';

}

$pStr = substr($pStr,0,-1);

$sql = "insert into {$this->tableName}($kStr) values($pStr)";

print_r($sql);

$pdoS = $this->pOb ->prepare($sql);

foreach ($vArr as $k=>$y){

$vname = "p".$k;

$$vname = $y;

var_dump($vname,$$vname);

$pdoS -> bindParam(":".$vname, $$vname,PDO::PARAM_STR);

}

$re = $pdoS -> execute();

if($re){//添加成功

//返回主键id值

return $this->pOb->lastInsertId();

}

//返回值

return $re;

}

public function delete($arrWhere){

if(!empty($arrWhere)){

$strW = " where ";

foreach($arrWhere as $kW=>$vW){

$kn = str_replace(":", "", $kW);

if(count($arrWhere)==1){

$strW .= $kn."=".$kW;

}else{

$strW .= $kn."=".$kW." and ";

}

}

if(count($arrWhere)>1){

$strW .= " 1=1 ";

}

}

$sql = "delete from {$this->tableName}".$strW;

print_r($sql);

$pdoS = $this->pOb->prepare($sql);

foreach ($arrWhere as $kW=>$vW){

$kn = str_replace(":", "", $kW);

$$kn = $vW;

if(is_int($vW)){

$pdoS->bindParam($kW,$$kn,PDO::PARAM_INT);

}else if(is_float($vW)){

$pdoS->bindParam($kW,$$kn,PDO::PARAM_INT);

}else{

$pdoS->bindParam($kW,$$kn,PDO::PARAM_STR);

}

}

$re=$pdoS->execute();

if($re){

return true;

}else {

return false;

}

}

function update($arrSet,$arrWhere){

//拼sql语句

$str = "";

$n=0;

foreach ($arrSet as $kS=>$vS){

$str .= ",".$kS."=:p".$n++;

}

$str = substr($str, 1);

foreach($arrWhere as $kW=>$vW){

$kn=str_replace(":","",$kW);

if(count($arrWhere)==1){

$strW .= $kn."=".$kW;

}else{

$strW .= $kn."=".$kW." and ";

}

}

if(count($arrWhere)>1){

$strW .= " 1=1 ";

}

$sql="update {$this->tableName} set {$str} where ".$strW;

//print_r($sql);

$pdoS=$this->pOb->prepare($sql);

$x = 0;

foreach($arrSet as $kS=>$vS){

$kS = ":p".$x++;

$$kS = $vS;

if(is_int($vS)){

$pdoS->bindParam($kS,$$kS,PDO::PARAM_INT);

}else if(is_float($vS)){

$pdoS->bindParam($kS,$$kS,PDO::PARAM_INT);

}else{

$pdoS->bindParam($kS,$$kS,PDO::PARAM_STR);

}

}

foreach($arrWhere as $kW=>$vW){

$kn=str_replace(":","",$kW);

$$kn=$vW;//$p0 $p1 $p2

if(is_int($vW)){

$pdoS->bindParam($kW,$$kn,PDO::PARAM_INT);

}else if(is_float($vW)){

$pdoS->bindParam($kW,$$kn,PDO::PARAM_INT);

}else{

$pdoS->bindParam($kW,$$kn,PDO::PARAM_STR);

}

}

$re=$pdoS->execute();

if($re){

return true;

}else{

return false;

}

}

//查

function select($field="*",$ArrayWhere="",$order="",$limit=""){

if(!empty($ArrayWhere)){

$strW = " where ";

foreach($ArrayWhere as $kW=>$vW){

$kn=str_replace(":","",$kW);

if(count($ArrayWhere)==1){

$strW .= $kn."=".$kW;

}else{

$strW .= $kn."=".$kW." and ";

}

}

if(count($ArrayWhere)>1){

$strW .= " 1=1 ";

}

}

if(!empty($order)){

$order="order by ".$order;

}

if(!empty($limit)){

$limit="limit ".$limit;

}

//select 字段列表 from 表名 where 条件 order by 字段 desc|asc limit start,length;

$sql="select {$field} from {$this->tableName} {$strW} {$order} {$limit}";

//print_r($sql);

$pdoS=$this->pOb->prepare($sql);

if(!empty($ArrayWhere)){

foreach($ArrayWhere as $kW=>$vW){

$kn=str_replace(":","",$kW);

$$kn=$vW;

if(is_int($vW)){

$pdoS->bindParam($kW,$$kn,PDO::PARAM_INT);

}else if(is_float($vW)){

$pdoS->bindParam($kW,$$kn,PDO::PARAM_INT);

}else{

$pdoS->bindParam($kW,$$kn,PDO::PARAM_STR);

}

}

}

$re=$pdoS->execute();

if($re){

$pdoS->setFetchMode(PDO::FETCH_ASSOC);

return $pdoS->fetchAll();

}else {

return false;

}

}

}

秋冬将至
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用PDOsql注入的原理分析
12-16
本文使用pdo的预处理方式可以避免sql注入。下面话不多说了,来一起看看详细的介绍吧 在php手册中’PDO–预处理语句与存储过程’下的说明: 很多更成熟的数据库都支持预处理语句的概念。什么是预处理语句?可以把它...
phpSQL注入的一个.zip
07-11
为了解决这个问题,PHP开发者通常会使用各种方法来防止SQL注入,其中之一就是使用专门的SQL注入。这个"phpSQL注入的一个.zip"文件显然提供了一个这样的解决方案。 该的主要目标是检查用户输入的数据,...
PHP代码中PDO模块对SQL注入
单核CPU的小朋友的博客
09-02 351
近些天做一个WEB应用程序的时候被人进行了SQL注入,本来是觉得,POD模块使用了参数化查询就不会存在这种被SQL注入的情况,事实告诉我,我还是太年轻了。 至于SQL注入是什么,在这里就不再探讨,本质上是应用程序在编程过程中存在逻辑漏洞导致的SQL执行语句与我们想的不一致所触发的非授权访问。一般来说通过安装软/硬WAF能够较好的解决和处理这个问题,同时也需要应用程序猿在编程过程中能够有意识的避免这个问题的发生。 先看我之前写的SQL查询代码,这边PDO链接的代码就不放出了,已经建立的链接使用变量$db来表示
php pdo 注入写法,phpsql注入(php pdo防止sql注入)
weixin_28366475的博客
03-17 123
class Model{protected $tableName="";//表名称protected $pOb;//pdo对象function __construct(){$pdo=new PDO("mysql:host=".DB_HOST.";dbname=".DB_NAME,DB_USERNAME,DB_PASSWORD);$pdo->exec("set names ".DB_CHAR...
PHPsql注入处理(pdo
gaokcl的博客
06-24 429
sqlmap使用教程 https://www.freebuf.com/sectool/164608.html https://blog.csdn.net/guiziwen/article/details/78770285 /** * @1,sql注入漏洞: * 比如:在用户名输入框中输入:’ or 1=1#,密码随便输入,这时候的合成后的SQL查询语句为: * sele...
phpMyAdmin $_REQUEST参数发现SQL注入漏洞.
cjqbk811121的博客
07-30 153
受影响系统: phpMyAdmin phpMyAdmin < 2.11.5 不受影响系统: phpMyAdmin phpMyAdmin 2.11.5 描述: BUGTRAQ ID: 28068 ph...
PDO处理SQL注入的简单方法
Smile李先生
09-09 853
360提供的phpsql注入代码修改
05-02
阅读`readme.md`文件,通常会详细解释如何引入和使用这个注入,包括的初始化、方法调用以及如何在实际的SQL查询和HTTP处理中集成这些护机制。的设计可能会包含如`escape_string()`用于转义SQL字符串,`...
php防止sql注入的方法详解
10-20
PHP防止SQL注入的方法主要包括以下几点: 1. **预处理语句(Prepared Statements)**: 使用预处理语句是防止SQL注入的最有效方法之一。预处理语句将SQL结构与数据分开处理,确保数据不会干扰SQL语句的结构。在PHP...
php pdo sql注入,PHP PDO是如何防止SQL注入的?
weixin_31845243的博客
03-10 287
SQL注入是一个常见的问题,当一个新的或没有经验的开发人员编写的代码很容易受到攻击。PHP是最容易访问的编程语言之一,但是这常常导致不安全的代码或不好的实践。PDO (PHP数据对象)是一个数据库抽象层,它允许您快速而安全地处理许多不同型的数据库。这使您能够使用相同的代码支持多种型的数据库,并通过使用准备好的语句保护您免受SQL注入。数据库抽象层通过API提供所有功能来隐藏与数据库的交互。所有...
php SQL 注入的一些经验
wang_quan_li的专栏
06-03 524
产生原因 一方面自己没这方面的意识,有些数据没有经过严格的验证,然后直接拼接 SQL 去查询。导致漏洞产生,比如: $id = $_GET['id']; $sql = "SELECT name FROM users WHERE id = $id"; 因为没有对 $_GET['id'] 做数据型验证,注入者可提交任何型的数据,比如 " and 1= 1 or " 等不安全的数据。
PHP使用PDO如何防止SQL注入_PDO防止SQL注入原理
qq_37910492的博客
01-16 3572
PDOPHP的一个扩展,使用PDO扩展可以连接不同型的数据库系统,但是我们还是需要自己编写SQL语句,这就意味着SQL安全由开发人员掌控。传统的mysql_connect 、mysql_query方法存在很多注入风险,而使用PDO预处理机制可以有效的防止SQL注入风险   连接数据库 现在我们需要连接到一个名为testdb的MySQL数据库,这个数据库的IP地址是127.0.0.1,监听...
泛微协同办公平台E-cology9.0版本后台维护手册(D)--流程引擎.docx
最新发布
09-03
泛微后端技术文档
A fast intra mode decision algorithm combining neighboring info
09-03
论文提出了一种用于H.264/AVC高配置文件的快速帧内模式决策算法,旨在降低编码复杂度。 算法基于当前块的内容以及邻块的空间连续性来选择最佳预测模式。 通过使用重建的邻域像素,不同的预测模式会导致不同的残差块,算法利用残差块的特征来辅助模式决策。 提出的算法使用绝对变换差之和(SATD)来衡量残差块,并使用最可能的模式来指示邻块预测模式的影响。 实验结果表明,与全搜索算法相比,所提出的算法在编码性能略有下降的情况下,有效降低了帧内预测的复杂度
《会员卡刷卡消费管理系统专业版》是一款集系统设置、会员管理、充值积分、会员消费、查询统计于一体的软-MbccmsP.zip
09-03
c 《会员卡刷卡消费管理系统专业版》是一款集系统设置、会员管理、充值积分、会员消费、查询统计于一体的软_MbccmsP.zip 《会员卡刷卡消费管理系统专业版》是一款集系统设置、会员管理、充值积分、会员消费、查询统计于一体的软_MbccmsP.zip 《会员卡刷卡消费管理系统专业版》是一款集系统设置、会员管理、充值积分、会员消费、查询统计于一体的软_MbccmsP.zip 《会员卡刷卡消费管理系统专业版》是一款集系统设置、会员管理、充值积分、会员消费、查询统计于一体的软_MbccmsP.zip 《会员卡刷卡消费管理系统专业版》是一款集系统设置、会员管理、充值积分、会员消费、查询统计于一体的软_MbccmsP.zip 《会员卡刷卡消费管理系统专业版》是一款集系统设置、会员管理、充值积分、会员消费、查询统计于一体的软_MbccmsP.zip 《会员卡刷卡消费管理系统专业版》是一款集系统设置、会员管理、充值积分、会员消费、查询统计于一体的软_MbccmsP.zip《会员卡刷卡消费管理系统专业版》是一款集系统设置、会员管理、充值积分、会员消费、查询统计于一体的软_MbccmsP.zip 《会
基于springboot学生选课系统设计与实现.docx
09-03
基于springboot学生选课系统设计与实现.docx
【天线阻抗】基于matlab耦合偶极子天线阻抗计算【含Matlab源码 7447期】.mp4
09-03
Matlab研究室上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描视频QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
【无线电】基于matlab认知无线电网络中协同频谱传感的优化【含Matlab源码 7449期】.mp4
09-03
Matlab研究室上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描视频QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
PHP SQL注入攻击解析与护策略
"这篇文章除了探讨PHPSQL注入攻击技术实现,还涉及了相关的预措施,重点关注了SQL注入的...了解SQL注入的原理和实施手段是防止攻击的关键,而采用安全的编程习惯和数据处理方法是保护数据库安全的重要保障。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值