php mysql pdo 防注入_Php中用PDO查询Mysql来避免SQL注入风险的方法

最新推荐文章于 2022-04-07 00:19:50 发布
最新推荐文章于 2022-04-07 00:19:50 发布
阅读量122 收藏 1
点赞数
文章标签: php mysql pdo 防注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33428613/article/details/113958882
版权

Php中用PDO查询Mysql来避免SQL注入风险的方法

foreach( $db->query( "SELECT * FROM feeds" ) as $row )

{

print_r( $row );

}

?>

统计有多少行数据

复制代码 代码如下:

$sql="select count(*) from test";

$num = $dbh->query($sql)->fetchColumn();

prepare方式

复制代码 代码如下:

$stmt = $dbh->prepare("select * from test");

if ($stmt->execute()) {

while ($row = $stmt->fetch()) {

print_r($row);

}

}

Prepare参数化查询

复制代码 代码如下:

$stmt = $dbh->prepare("select * from test where name = ?");

if ($stmt->execute(array("david"))) {

while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {

print_r($row);

}

}

【下面来说说重点了,如何防止 sql注入】

使用PDO访问MySQL数据库时,真正的real prepared statements 默认情况下是不使用的。为了解决这个问题,你必须禁用 prepared statements的仿真效果。下面是使用PDO创建链接的例子:

复制代码 代码如下:

$dbh = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');

$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

setAttribute()这一行是强制性的,它会告诉 PDO 禁用模拟预处理语句,并使用 real parepared statements 。这可以确保SQL语句和相应的值在传递到mysql服务器之前是不会被PHP解析的(禁止了所有可能的恶意SQL注入攻击)。虽然你可以配置文件中设置字符集的属性(charset=utf8),但是需要格外注意的是,老版本的 PHP( < 5.3.6)在DSN中是忽略字符参数的。

我们来看一段完整的代码使用实例:

复制代码 代码如下:

$dbh = new PDO("mysql:host=localhost; dbname=demo", "user", "pass");

$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); //禁用prepared statements的仿真效果

$dbh->exec("set names 'utf8'");

$sql="select * from test where name = ? and password = ?";

$stmt = $dbh->prepare($sql);

$exeres = $stmt->execute(array($testname, $pass));

if ($exeres) {

while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {

print_r($row);

}

}

$dbh = null;

上面这段代码就可以防范sql注入。为什么呢?

当调用 prepare() 时,查询语句已经发送给了数据库服务器,此时只有占位符 ? 发送过去,没有用户提交的数据;当调用到 execute()时,用户提交过来的值才会传送给数据库,他们是分开传送的,两者独立的,SQL攻击者没有一点机会。

但是我们需要注意的是以下几种情况,PDO并不能帮助你防范SQL注入

1、你不能让占位符 ? 代替一组值,如:

复制代码 代码如下:

SELECT * FROM blog WHERE userid IN ( ? );

2、你不能让占位符代替数据表名或列名,如:

复制代码 代码如下:

SELECT * FROM blog ORDER BY ?;

3、你不能让占位符 ? 代替任何其他SQL语法,如:

复制代码 代码如下:

SELECT EXTRACT( ? FROM datetime_column) AS variable_datetime_element FROM blog;

【Php中用PDO查询Mysql来避免SQL注入风险的方法】相关文章:

贵萌兄
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Php中用PDO查询Mysql避免SQL注入风险方法
10-27
标题中的“PHP中用PDO查询MySQL避免SQL注入风险方法”指的是使用PHPPDOPHP Data Objects)扩展来执行数据库查询,从而降低SQL注入风险SQL注入是一种常见的网络安全威胁,黑客可以通过构造恶意输入来篡改...
PDO注入原理分析以及使用PDO的注意事项总结
12-18
在理解PDO注入原理之前,我们先来探讨为什么应优先使用PDO而非传统的`mysql_connect`。 一、为何优先使用PDO? 1. **预处理语句**:预处理语句是一种数据库模板,允许开发者提前编译SQL语句,然后多次执行,每次...
php mysql pdo 注入,Php中用PDO查询Mysql避免SQL注入风险方法
weixin_33685133的博客
03-21 156
当我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHPPDO扩展的 prepare 方法,就可以避免sql injection 风险PDO(PHP Data Object) 是PHP5新...
php pdo mysql 过滤_PHP利用PDO实现mysql注入
weixin_28761983的博客
01-28 218
1、什么是注入攻击例如下例:前端有个提交表格:姓名:密码:后台的处理如下:$username=$_POST["username"];$password=$_POST["password"];$age=$_POST["age"];//连接数据库,新建PDO对象$pdo=new PDO("mysql:host=localhost;dbname=phpdemo","root","1234");$sql=...
mysql pdo 安全_PDOsql注入的原理
weixin_31427047的博客
01-27 353
首先,PDO可以被认作是一种通过编译SQL语句模板来运行sql语句的机制。预处理语句可以带来两大好处:1.查询只需要被解析(或编译)一次,但可以执行多次通过相同或不同的参数。当查询处理好后,数据库将分析,编译和优化它的计划来执行查询。对于复杂的查询这个过程可能需要足够的时间,这将显著地使得应用程序变慢,如果有必要,可以多次使用不同的参数 重复相同的查询。通过使用处理好的语句的应用程序避免重复 【分...
mysql pdo 安全_使用PDO查询Mysql避免SQL注入风险
weixin_33784572的博客
01-27 141
当 我们使用传统的mysql_connect、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失 去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHPPDO扩展 的prepare方法,就可以避免sqlinjection风险PDO(PHPDataObject)是PH...
php mysql pdo 注入_php操作mysql注入基础
weixin_39658474的博客
01-28 64
最近写接口过程中需要用到phpmysql,使用过程中发现了一般的操作方法sql注入风险,后来使用了PDOPDO是什么呢?PHP 数据对象 (PDO) 扩展为PHP访问数据库定义了一个轻量级的一致接口。PDO 提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。使用PDO我们可以用bindValue函数,它可以有效sql注入,这样便于我们基础...
PHP基于PDO扩展操作mysql数据库示例
12-19
PDOPHP中用于数据库访问的抽象层,它提供了一种统一的接口来处理多种数据库系统,包括MySQL。通过PDO,我们可以更安全、高效地执行SQL查询。 首先,让我们来看一个简单的查询示例。在`get_sub_product()`函数中,...
php使用PDO方法详解
10-25
PDOPHP Data Objects)是PHP中用于数据库访问的扩展,提供了统一的API接口,支持多种数据库,包括MySQL、SQLite、PostgreSQL等。本篇文章将详细解析PHP如何使用PDO方法进行数据库操作。 首先,确保在PHP环境中...
PDO预处理SQL注入
路虽远,行将至。事虽难,做必达。
04-07 6363
PDO可以被认作是一种通过编译SQL语句模板来运行SQL语句的机制。 查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编译/优化周期。简言之,预处理语句占用更少的资源,因而运行得更快。 提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,可以
mysql pdo 事物_PHP操作PDO、预处理以及事务
weixin_34646207的博客
02-07 125
本文以基础讲解常用的PHPPDO方式操作MySQL,包括常用的CURD语句执行,以及预处理语句和事务的应用。虽然很多朋友使用开发框架封装好了数据库操作层,或者使用ORM等不直接接触SQL语句,但是在一些小项目中可能会用到原生的数据库操作,所以虽然是基础但是很有用。准备我们准备一张mysql数据表mycomments,这是一张常见的评论表。CREATE TABLE `mycomments` (`i...
php 连接mysql查询 增删改)
weixin_30299539的博客
04-29 102
1、连接数据库方法: <?php//方法1$mysqli = new mysqli("localhost", "root", "root", "easyadmin");if (!$mysqli) { echo "database error";} else { echo "php env successful";}$mysqli->close();//方法2tr...
php mysql 写法_php PDO mysql写法
weixin_39942474的博客
01-18 123
写法一:$db="mysql:host=localhost;dbname=sql" ; //连接数据,地址localhost;数据库名称sql;$username="root"; //数据库登录账号;$password="root"; //数据库登录密码;try{$pdo=new PDO($db,$username,$password); //连接数据库赋值$pdo;}catch(PDOExc...
PDOPDO -> prepare的简单使用
之路风雨
01-23 5952
<?php $host = 'localhost'; $user = 'root'; $pwd = '1234'; // sakila数据库是安装mysql时, 系统自带的一个示例数据库 $dbname = 'sakila'; // dsn的具体写法, 在PHP手册中搜索: PDO_MYSQL $dsn = "mysql:host=$host;dbname=$dbname;port=3306
SQL预处理语句(Prepared Statements)
热门推荐
that3的专栏
05-20 1万+
SQL预处理语句(Prepared Statements) 许多成熟的数据库都支持预处理语句(Prepared Statements)的概念。它们是什么东西?你可以把它们想成是一种编译过的要执行的SQL语句模板,可以使用不同的变量参数定制它。预处理语句具有两个主要的优点: 查询只需要被解析(或准备)一次,但可以使用相同或不同的参数执行多次。当查询准备好(Prepared)之后,数据
mysql 预处理创建事务_PDO 的事务操作与预处理语句
weixin_33696476的博客
02-18 59
重复插入$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");$stmt->bindParam(':name', $name);$stmt->bindParam(':value', $value);// 插入一行$name = 'one';$value = 1;$stm...
PHPsql注入处理(pdo
gaokcl的博客
06-24 422
sqlmap使用教程 https://www.freebuf.com/sectool/164608.html https://blog.csdn.net/guiziwen/article/details/78770285 /** * @1,sql注入漏洞: * 比如:在用户名输入框中输入:’ or 1=1#,密码随便输入,这时候的合成后的SQL查询语句为: * sele...
python parsal_Python 数据库操作 SQLAlchemy示例代码
weixin_39742471的博客
12-19 179
程序在运行过程中所有的的数据都存储在内存 (RAM) 中,「RAM 是易失性存储器,系统掉电后 RAM 中的所有数据将全部丢失」。在大多数情况下我们希望程序运行中产生的数据能够长久的保存,此时我们就需要将数据保存到磁盘上,无论是保存到本地磁盘,还是通过网络保存到服务器上,最终都会将数据写入磁盘文件。将数据保存在磁盘中我们需要面对一个数据格式的问题,此时就需要引入数据库操作。数据库是专门用于数据的集...
php pdo mysql mysql_i 三种连接方式
最新发布
09-03
然而,mysql扩展存在一些安全性和兼容性的问题,容易受到SQL注入等攻击。 综上所述,PDOMySQLi和mysqlPHP常用的三种连接MySQL数据库的方式。其中PDO具有较高的安全性和可移植性,使用方式统一;MySQLi支持较多...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值