php pdo防注入,简单登录的PDO预处理防SQL注入

最新推荐文章于 2024-06-20 20:49:37 发布
最新推荐文章于 2024-06-20 20:49:37 发布
阅读量215 收藏 1
点赞数

SQL注入 PDO 预处理语句 安全防范 PHP
关键词由CSDN通过智能技术生成

1,新建一个user表

create table user(

id int(4) not null primary key auto_increment,

name varchar(255) not null,

pwd varchar(255) not null)

CHARSET=utf8;

4adbfaf29e2a8056b398abfa33dd3a88.png

2,插入测试数据

INSERT INTO user(name,pwd) VALUES('bobo','bobo');

3,新建一个login.php文件,用来写登录html页面

代码如下:<?php

/**

* Created by PhpStorm.

* User: Administrator

* Date: 2018/3/5 0005

* Time: 下午 1:12

*/

?>

html>

Title

用户名:

密码:

4,新建check.php文件用来获取表单提交数据进行数据库连接处理

代码如下:<?php

/**

* Created by PhpStorm.

* User: Administrator

* Date: 2018/3/5 0005

* Time: 下午 1:14

*/

header('content-type:text/html;charset=utf-8');

$username=$_POST['name'];

$pwd=$_POST['pwd'];

try {

$pdo=new PDO('mysql:host=localhost;dbname=php','root','root');

$sql="select * from user where name='{$username}' and pwd='{$pwd}'";

$stmt=$pdo->query($sql);

//返回结果集中的行数

echo $stmt->rowCount();

} catch (Exception $e) {

echo $e->getMessage();

}

浏览器运行结果如下:

输入用户名bobo,密码bobo打印出 1

输入错误的用户名密码打印0

输入注入sql语句'or 1=1#打印还是1,很明显这里错了,没有对sql进行防注入处理

5,第一种方式防注入(?方式)<?php

try {

$pdo=new PDO('mysql:host=localhost;dbname=php','root','root');

$sql="select * from user where name=? and pwd=?";

$stmt=$pdo->prepare($sql);

$stmt->execute(array($username,$pwd));

echo $stmt->rowCount();

} catch (Exception $e) {

echo $e->getMessage();

}

6,第二种方式(占位符方式)<?php

try {

$pdo=new PDO('mysql:host=localhost;dbname=php','root','root');

$sql="select * from user where name=:name and pwd=:pwd";

$stmt=$pdo->prepare($sql);

$stmt->execute(array(":name"=>$username,":pwd"=>$pwd));

echo $stmt->rowCount();

} catch (Exception $e) {

echo $e->getMessage();

}

两种方式输入'or 1=1#打印都是0,解决了sql注入问题。

简在我心
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP使用PDO实现mysql注入功能详解
12-20
本文实例讲述了PHP使用PDO实现mysql注入功能。分享给大家供大家参考,具体如下: 1、什么是注入攻击 例如下例: 前端有个提交表格: <form action="test.php" method="post"> 姓名:<input name="username" type="text"> 密码:<input name="password" type="password"> <input type="submit" value="登陆"> </form> 后台的处理如下: <?php $username=$_POST["username"];
使用PDOsql注入的原理分析
09-09
标题中的“使用PDOSQL注入的原理分析”指的是在PHP编程中,使用PDOPHP Data Objects)扩展来SQL注入攻击的技术。SQL注入是一种常见的安全威胁,它允许攻击者通过输入恶意构造的SQL代码来操纵数据库。PDO提供...
pdo mysql注入_Php中用PDO查询Mysql来避免SQL注入风险的方法
weixin_28695161的博客
01-19 200
当我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHPPDO扩展的 prepare 方法,就可以避免sql injection 风险。PDO(PHP Data Object) 是PHP5新...
PDO预编译与sql注入
最新发布
qq_64395221的博客
06-20 1012
刚学web安全的时候学到sql注入御,那些文章基本上都会说利用pdo预编译就可以近乎完美sql注入,或者看到一些渗透经验贴,遇到sql经过预编译的网站师傅们总是会建议赶紧换个站,那么预编译究竟能不能完美sql注入,或者说预编译下的sql注入有什么奇技淫巧吗?首先是第一个问题,为什么预编译或者说参数化查询可以sql注入呢?我之前看过的一个面经上是这么写的:使用参数化查询数据库服务器不会把参数的内容当作 sql 指令的一部分来执行,是在数据库完成 sql 指令的编译后才套用参数运行。
php使用预处理注入,PHP中使用PDO预处理功能避免SQL注入
weixin_39898011的博客
03-20 105
不使用预处理功能$id = $_GET['id'];$dsn = 'mysql:host=localhost;port=3306;dbname=database';try {$pdo = new PDO($dsn, $user, $pass);$sql = 'SELECT * FROM table where id = ' . $id;$stmt = $pdo->query($sql);$d...
pdo基本使用及pdo预处理sql注入
天下熙熙,皆为利来;天下攘攘,皆为利往。
07-21 1496
$dsn = "mysql:host=localhost;dbname=pdo"; $db=new PDO($dsn,'root','root',array(PDO::MYSQL_ATTR_INIT_COMMAND=>'set names utf8')); $rs = $db->exec("insert into jq_insert(info) values('zhangsan')"); //p
PDO预处理sql注入
LXC
06-11 1150
$pdo=new PDO('mysql:host=127.0.0.1;dbname=ci','root','root',array(PDO::MYSQL_ATTR_INIT_COMMAND=>'set names utf8')); $arr=$pdo->prepare("insert into ceshi(ip,country,province,city,district,carrier)VALU
PDO注入原理分析以及注意事项
10-24
PDOPHP Data Objects)是一种PHP访问数据库的扩展,它提供了预处理语句(prepared statements)的支持,这在SQL注入方面具有显著优势。SQL注入是Web应用安全中的常见威胁,攻击者通过输入恶意的SQL代码来操纵...
360提供的phpsql注入代码修改类
05-02
1. 使用预处理语句:预处理语句(如PDO或mysqli的预处理)可以使SQL语句和参数分离,有效避免注入攻击。 2. 参数化查询:与预处理类似,参数化查询能确保用户输入的数据不会被解析为SQL代码。 3. 输入验证:对用户...
PDO注入原理分析以及使用PDO的注意事项总结
10-25
PDOPHP Data Objects)是一种PHP访问数据库的扩展,它提供了预处理语句(prepared statements)的功能,这在SQL注入方面起着至关重要的作用。SQL注入是网络安全中的常见威胁,攻击者通过输入恶意的SQL代码来...
PHP中使用PDO预处理功能避免SQL注入
weixin_30546189的博客
05-19 210
不使用预处理功能 <?php $id = $_GET['id']; $dsn = 'mysql:host=localhost;port=3306;dbname=database'; try { $pdo = new PDO($dsn, $user, $pass); $sql = 'SELECT * FROM table where id = ' . $id; $stm...
PDO通过预处理语句sql注入
帅波的博客
05-26 463
简单登录页面注入 数据库:test; 建表 CREATE TABLE USER( id INT UNSIGNED AUTO_INCREMENT KEY, username VARCHAR(20) NOT NULL, password CHAR(32) NOT NULL, email CHAR(32) NOT NULL ); 向表中插入一条数据: INSERT INTO user(use...
PDO预处理SQL注入
路虽远,行将至。事虽难,做必达。
04-07 6404
PDO可以被认作是一种通过编译SQL语句模板来运行SQL语句的机制。 查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编译/优化周期。简言之,预处理语句占用更少的资源,因而运行得更快。 提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,可以
2017-07-25 PDO预处理以及sql注入
ayucfqwua07405842的博客
07-25 118
首先来看下不做任何处理的php登录,首先是HTML页面代码 <html> <head><title>用户登录</title></head> <body> <fieldset> <legend><h3>用户登录</h...
mysql pdo 安全_PDOsql注入的原理
weixin_31427047的博客
01-27 361
首先,PDO可以被认作是一种通过编译SQL语句模板来运行sql语句的机制。预处理语句可以带来两大好处:1.查询只需要被解析(或编译)一次,但可以执行多次通过相同或不同的参数。当查询处理好后,数据库将分析,编译和优化它的计划来执行查询。对于复杂的查询这个过程可能需要足够的时间,这将显著地使得应用程序变慢,如果有必要,可以多次使用不同的参数 重复相同的查询。通过使用处理好的语句的应用程序避免重复 【分...
PDO预处理是如何SQL注入
y0un9er
05-13 2187
通过日志分析PDO是如何SQL注入
pdo通过预处理语句sql注入
云影杳杳的博客
11-25 4583
本文会通过一个简单登录验证来演示通过预处理语句注入。 数据库:test; 创建表:CREATE TABLE USER( id INT UNSIGNED AUTO_INCREMENT KEY, username VARCHAR(20) NOT NULL, password CHAR(20) NOT NULL, email CHAR(20) NOT NULL);向表中插入一条数据:INS
PHP:PDO预处理机制在SQL注入的作用/PDO CURD预处理/PDO预处理中bindValue与bindParam的不同之处
ZzzWClock的博客
10-07 516
PHP:PDO预处理机制在SQL注入的作用/PDO CURD预处理/PDO预处理中bindValue与bindParam的不同之处 一.PDO预处理机制在SQL注入的作用 pdo预处理机制 sql注入 pdo使用 ?参数占位符 或者 命名占位符 :name 需要使用到的方法 含义 prepare() 准备一条将要执行的预处理语句 返回的是pdo statement 对象 bindParam() 绑定一个参数到指定的变量名 execute() 执行一条预处理语句 ①未
PDO预处理SQL注入
06-02
是的,PDO预处理可以有效地SQL注入预处理是一种在执行SQL语句之前先将SQL语句和参数分离的机制。在分离后,PDO会将SQL语句和参数分别发送到数据库,从而避免了SQL注入攻击。 使用PDO预处理的方式,可以将输入数据作为参数传递给SQL语句,从而避免了恶意用户输入一些SQL语句,从而破坏原有的SQL语句执行逻辑的情况。PDO预处理语句会自动转义输入的特殊字符,确保输入的数据不会被解释为SQL语句的一部分。 当PDO预处理执行时,数据库会在执行SQL语句之前编译它,并在接收到实际参数值后执行该语句。这确保了SQL语句和参数值之间的完全分离,并保障了SQL语句的安全性。 因此,PDO预处理是一种能够有效SQL注入攻击的方法,建议在使用PDO连接数据库时,优先选择使用PDO预处理语句。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值