mysql pdo 插入没效果_一步一步开启MySQL数据库取证(1)

最新推荐文章于 2021-03-23 01:31:34 发布
最新推荐文章于 2021-03-23 01:31:34 发布
阅读量84 收藏
点赞数
文章标签: mysql pdo 插入没效果
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39569051/article/details/111696896
版权

随笔

案例

知识

声音

其他

编者按

学海无涯,时间长了肚子里沉淀的技术也不多了,便趁着这波“长假”来学习和充实自己。在这个学习的过程中遇到了不少问题,这里挑其中一个有趣的问题,由此展开了一番探索,分享给大家。

本文作者:小名鼎鼎的先森。学习枯燥,分享更不易,欢迎点赞。

由于新冠病毒的肆虐导致相关地区疫情严重,牵动着全国人民的心。作为普通人,我们或许无法直接去支援他们,但是我们仍然可以给社会尽一份力:注意卫生防护不聚集,疑似患病即隔离,不信谣不传谣等。先森不懂医学也无法去支援疫情地区,只能祈祷一切安好、呆在家不给国家添乱。在这似乎遥遥无期、基本绝缘的日子里,看新闻联播、学习和发呆,这也让我深深地体会到拥抱自由、遵守法律的重要意义……

引子:钻研技术,发现问题

ThinkPHP框架是国内著名的PHP开源框架,因其灵活和功能强大拥有众多用户。 俗话说树大招风,前几年修复了若干严重的漏洞,如远程代码执行(RCE)、本地文件包含(LFI)和SQL注入等等。 先森一直在ThinkPHP框架的门口观望,没有系统地学习过,于是打算这些天好好补补这方面。

db6d0a45b5f85c394eaea4321d272d8d.png

这不正好学到SQL操作的章节,借此可以好好研究TP框架的SQL注入与防御。 于是写了一个简单的SQL语句,尝试调试查看TP底层最终处理后的语句,当然TP框架也内置了功能,如在\tp\config\app.php里开启”app_debug”和”app_trace”选项实现应用调试及追踪、在\tp\config\database.php里开启” debug”选项实现记录SQL操作等。

4ca582301a87d85dbe6499c734cf04e3.png

f2a5d7e429f1872f5ee86759b11c277c.png

光这些还不够,为了更简便操作,至少还要配合MySQL语句监控工具等。 这里我习惯使用“Seay代码审计系统”的“Mysql监控”插件,它可以记录MySQL上用户执行的所有SQL操作,该工具原理是基于数据库中的general_log功能,将监控到的SQL语句转存到mysql.general_log表中然后再按需筛选出来。

14f3ac35b30d4dfc65e0705aa04ee665.png

这里我写了一个非常简单的demo,该脚本的功能是通过查询指定id来返回用户的所有信息,TP底层最终执行的语句应该是”select * from think_user where id = xxx”。

d44376680e791e1503d53b51ee8490bd.png

在浏览器里按TP框架的访问方式,依次填入指定的模块、控制器、方法和参数访问后,浏览器按预定想法回显了我们数据,框架内置的调试器也显示执行了两条查询,但是我的“神器”却无任何有意义的回显。

79b1cd1d56f3cf5f40af2c787e01e18b.png

于是我诧异地跑到MySQL的管理工具里执行这个查询操作,这次确实可以监控到执行的SQL语句,所以排除了该工具存在故障的可能性。 这就有些颠覆了我对MySQL数据库和ThinkPHP框架的认知,要知道MySQL中general_log功能的作用就是记录用户的所有操作,堂堂一个Oracle公司不可能出这种问题吧? !

b3b4ff36026b59b509744308a0c15fee.png

于是找到几位搞技术的朋友请教一下这个情况,他们对此也感到奇怪。但忙于工作和其他事情,无暇研究这个问题…俗话说自己动手丰衣足食,加之对逆向工程越来越有浓厚兴趣了( 后面会有对工具的逆向过程 ),便开始了这场刨根问底的行动。

4a27b991606e183653b2e01f4d36889d.png

643c3b4ca476b7a164dc2e04d08bc4c7.png

索性将TP框架中的增删改查的方法都试了一遍,连朋友提到的TP两种的原生执行SQL的方法也是这样,发现真的都不行。

10641837bec8cc8243f92c422cd44262.png

我简单的追溯了下TP底层是如何处理数据库操作。 从query函数出发->经由核心功能think\Query.php中的query方法->经由核心功能think\Collection.php中的query方法,发现最终是被PDO的prepare方法处理,简而言之就是经由SQL预处理了。 所以问题是不是可能出在预处理上了?

cae2a3532f2f4ad983c49fe164342d36.png

为了更好的验证这个猜测,我写了一个mysqli下的预处理查询脚本,功能是查询think_user表中id为3的用户信息。 通过浏览器的回显可以认定这三种查询方式是完全没问题的,但是Mysql监控工具的回显结果却不尽人意。 所以综上,我们可以推测出是 SQL编译预处理环节的问题。

868db31fc1c77beaeea4697d6e488add.png

未完待续……

0d7b55786429cff06e1a794171b4a16c.png

weixin_39569051
关注
c#erp项目源码 mysql_一步一步开启MySQL数据库取证(3)
weixin_39976413的博客
11-20 247
随笔案例知识声音其他编者按学海无涯,时间长了肚子里沉淀的技术也不多了,便趁着这波“长假”来学习和充实自己。在这个学习的过程中遇到了不少问题,这里挑其中一个有趣的问题,由此展开了一番探索,分享给大家。本文作者:小名鼎鼎的先森接上……逆向修改,优化工具功能先森虽然略懂WEB安全且在这方面小有心得,但在二进制方面基本上两眼一抹黑,“滴水穿石非一日之功”,二进制方面需要扎实的计算机基础和更加完备...
pdo插入mysql数据出错_php中通过pdo插入数据时,sql语句错误?
weixin_39603505的博客
01-19 121
再次先谢谢各位大佬!!接下来直接看代码:include 'mysql_ini.php';$sql_select = "select * from word where word = ?";$sql_inset = "insert into word(word,explain) values('ssss','sss')";$word = 'passwor';$explain = '密码';try{$...
pdo插入mysql数据出错_关于php用pdo预处理的方式连接数据库,出现错误
weixin_30737899的博客
01-28 320
最近担心SQL注入,改变了SQL的写法,用PDO的预处理遇到点问题首先说我的文件结构:--conn.php数据库连接写在这里--login.php登陆界面--aaa.php登陆后的某页面一、conn.php中我是这么写...最近担心SQL注入,改变了SQL的写法,用PDO的预处理遇到点问题首先说我的文件结构:--conn.php 数据库连接写在这里--login.php 登陆界面--aaa.php...
php添加数据后不显示,PHP PDO准备插入 – 不插入数据并且不显示错误
weixin_28921115的博客
03-20 211
这个问题让我发疯,我尝试了一切.是不是给我任何错误,但它也有向数据库插入任何内容.数据库连接很好,应该有拼写错误.请看一下,看看你是否能找到问题:$err = array();if (isset($_POST['submit'])) {$ip = gethostbyname($_SERVER['REMOTE_ADDR']);$date = "2012-02-02 02:02:02"; //Ex...
小白求助:自己封装的pdo类,查询功能错,但是在插入的时候出错
asd123asd098qwe的专栏
03-04 619
今天整理了下以前的pdo数据库封装类,但是在使用的时候报错,Fatal error: Call to a member function exec() on a non-object in sqlcontrol.class.php on line 45 这个是完整的错误提示,在以前有修改的时候有这个错误,这是怎么回事儿。 这个是我用的类<?php header("content-type:t
MySQL数据库安全加固:PHP应用防范风险,保障数据库安全
![MySQL数据库安全加固:PHP应用防范风险,保障数据库安全]...MySQL数据库是广泛使用的关系型数据库管理系统,其安全性至关重要。本章概述了MySQL数据库安全面临
PHP MySQL数据库用户管理:安全控制,权限分明,保障数据库的安全访问
# 1. PHP MySQL数据库用户管理概述 PHP MySQL数据库用户管理是管理数据库用户及其权限的过程。它涉及创建、管理和删除用户,以及授予和撤销用户对数据库及其对象的访问权限。 用户管理对于确保数据库的安全和完整...
MySQL数据库连接池揭秘:提升PHP连接效率的利器
MySQL数据库连接池是一种资源管理机制,它通过预先创建和维护一定数量的数据库连接,以满足应用程序对数据库的访问需求。连接池通过避免频繁创建和销毁数据库连接,从而提高了应用程序的性能和可伸缩性。 连接池...
PHP数据库监控:实时掌握数据库运行状况的利器,让你的数据库健康状况一目了然
# 1. PHP数据库监控概述 PHP数据库监控是监视和管理数据库性能和安全性的过程。它使开发人员和系统管理员能够识别和解决数据库问题,从而确保应用程序的稳定性和可靠性。 数据库监控可以分为两大类: * **性能...
PHP数据库日志记录秘籍:故障排查利器,提升数据库性能
# 1. PHP数据库日志记录概述** PHP数据库日志记录是一种记录数据库操作和事件的实践,对于数据库管理、故障排查和性能优化至关重要。通过日志记录,开发人员可以跟踪数据库查询、错误和自定义事件,以了解数据库的...
php bind修改数据,PHP PDOStatement:bindParam插入数据错误问题分析
weixin_28947723的博客
03-23 163
PHP PDOStatement:bindParam插入数据错误问题分析发布于 2014-12-21 17:57:38 | 121 次阅读 | 评论: 1 | 来源: 网友投递PDO PHP 数据对象POD是PHP一个扩展,PDO扩展为PHP访问数据库定义了一个轻量级的、一致性的接口,它提供了一个数据访问抽象层,这样,无论使用什么数据库,都可以通过一致的函数执行查询和获取数据。本文为大家讲解的是P...
pdo插入mysql数据出错_pdo数据库插入数据失败?
weixin_42340136的博客
02-08 383
错误代码:SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'inse...
mysql pdo 插入效果_Mysql面试整理
weixin_39624716的博客
11-24 215
微信公众号:PHP在线php 远程获取文件第一种:file_get_contents$url='![](file:///C:\Users\ASUS\AppData\Roaming\Tencent\QQ\Temp\%W@GJ$ACOF(TYDYECOKVDYB.png)http://www.xxx.com/';$contents=file_get_contents($url)第二种...
pdo怎么建mysql表_PHP使用PDO创建MySQL数据库、表及插入多条数据操作示例
weixin_35355431的博客
01-19 141
最近应该百分之九十的人都在吃瓜吧~但是也不要忘记学习哦本文实例讲述了PHP使用PDO创建MySQL数据库、表及插入多条数据操作。分享给大家供大家参考,具体如下:创建 MySQL 数据库:$servername = "localhost";$username = "username";$password = "password";try {$conn = new PDO("mysql:host=$s...
pdo插入mysql数据出错_pdo连接mysql数据库错误
weixin_30575517的博客
01-21 720
源自:5-3 [PDO] 数据库操作类之执行SQL语句pdo连接mysql数据库错误publicfunction__construct($dbConfig=''){if(!class_exists("PDO")){self::throw_exception('不支持PDO,请先开启');}if(!is_array($dbConfig)){$dbConfig=array('hostname'=...
php错误处理
沉梦昂志
10-21 175
如果有错误处理机制会怎样? 文件有打开,但仍然向下执行,输出了ok <?php $file = fopen('./aaa.php','r'); echo 'ok'; /* 输出结果; Warning: fopen(./aaa.txt): failed to open stream: No such file or directory in F:\wamp\www\test.php on line 2 ok */ 添加错误处理机制 使用file_exists()函数检查文件或文件夹是否存在,返回
PHP PDO_MySQL类库:简化数据库操作
"一个PHP PDO_MySQL类的源代码示例,用于简化数据库操作,包括错误处理、初始化连接和定义连接参数。类包含了通用的query、exec方法,支持查询、更新、删除和插入操作。" 这个PDO_MYSQL类是为了在PHP中更方便地操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值