php使用预处理防止注入,PHP中使用PDO的预处理功能避免SQL注入

最新推荐文章于 2022-05-26 16:14:44 发布
最新推荐文章于 2022-05-26 16:14:44 发布
阅读量105 收藏
点赞数
文章标签: php使用预处理防止注入
这篇博客探讨了PDO预处理语句在MySQL中的使用,包括匿名占位符和命名占位符的方式,强调了预处理语句在防止SQL注入和提高代码安全性上的优势。示例代码展示了如何执行SELECT和UPDATE操作,并处理可能出现的异常。
摘要由CSDN通过智能技术生成

不使用预处理功能

$id = $_GET['id'];

$dsn = 'mysql:host=localhost;port=3306;dbname=database';

try {

$pdo = new PDO($dsn, $user, $pass);

$sql = 'SELECT * FROM table where id = ' . $id;

$stmt = $pdo->query($sql);

$data = $stmt->fetchALL(PDO::FETCH_ASSOC);

var_dump($data);

$stmt->closeCursor();

} catch (PDOException $e) {

var_dump($e->getMessage());

}

使用匿名占位符预处理

$id = $_GET['id'];

$dsn = 'mysql:host=localhost;port=3306;dbname=database';

try {

$pdo = new PDO($dsn, 'user', 'pass');

$sql = 'SELECT * FROM table where id = ?';

$stmt = $pdo->prepare($sql);

$stmt->execute([$id]);

$data = $stmt->fetchALL(PDO::FETCH_ASSOC);

var_dump($data);

$stmt->closeCursor();

} catch (PDOException $e) {

var_dump($e->getMessage());

}

使用命名占位符预处理

$id = $_GET['id'];

$dsn = 'mysql:host=localhost;port=3306;dbname=database';

try {

$pdo = new PDO($dsn, 'user', 'pass');

$sql = 'SELECT * FROM table where id = :id';

$stmt = $pdo->prepare($sql);

$stmt->bindValue(':id', $id);

$stmt->execute();

$data = $stmt->fetchALL(PDO::FETCH_ASSOC);

var_dump($data);

$stmt->closeCursor();

} catch (PDOException $e) {

var_dump($e->getMessage());

}

$foo = $_GET['foo'];

$bar = $_GET['bar'];

$dsn = 'mysql:host=localhost;port=3306;dbname=database';

try {

$pdo = new PDO($dsn, 'user', 'pass');

$sql = 'UPDATE table set column_foo = ? where column_bar = ?';

$stmt = $pdo->prepare($sql);

$stmt->bindParam(1, $foo);

$stmt->bindParam(2, $bar);

$stmt->execute();

$data = $stmt->rowCount();

var_dump($data);

$stmt->closeCursor();

} catch (PDOException $e) {

var_dump($e->getMessage());

}

weixin_39898011
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php pdo注入,简单登录的PDO预处理SQL注入
weixin_34469152的博客
03-21 215
1,新建一个user表create table user(id int(4) not null primary key auto_increment,name varchar(255) not null,pwd varchar(255) not null)CHARSET=utf8;2,插入测试数据INSERTINTOuser(name,pwd)VALUES('bobo','bobo');3,...
pdo通过预处理语句防止sql注入
云影杳杳的博客
11-25 4583
本文会通过一个简单的登录验证来演示通过预处理语句防注入。 数据库:test; 创建表:CREATE TABLE USER( id INT UNSIGNED AUTO_INCREMENT KEY, username VARCHAR(20) NOT NULL, password CHAR(20) NOT NULL, email CHAR(20) NOT NULL);向表插入一条数据:INS
mysql prepare 防注入_使用 PDO 的 prepare 预处理,能 100%防止 SQL 注入吗?
weixin_32921593的博客
02-07 218
ovear2017-05-20 22:02:29 +08:00但为什么你不翻译完?或者我们通过同一个链接看到的版本不是一个? LOL>翻译完你给钱? 还有一种可能,要么是我的语文水平太差,要么是你英语太差要点是这样的,这是那个 PO 主的 Demo:$pdo->query('SET NAMES gbk');$var = "\xbf\x27 OR 1=1 /*";$query = 'SE...
mysql prepare 注入_PDO prepare足以防止SQL注入吗?
weixin_30340269的博客
02-07 619
这是一篇翻译的文章,可以点击查看原文。简单来说不能,PDO prepare无法防御全部的SQL注入攻击。比如一些潜在的边缘情况。我调整了这个答案以适应PDO的场景……完整的答案是不太容易,这篇文章证明了这种攻击的可能。攻击实现那么,接下来我来演示这种攻击……$pdo->query('SET NAMES gbk');$var = "\xbf\x27 OR 1=1 /*";$query = 'S...
使用PDO查询mysql避免SQL注入
weixin_34194359的博客
03-27 194
使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严紧,就有SQL注入风险。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHPPDO扩展的 prepare 方法,就可以避免sql injection 风险。 PDO(PHP Data Object) 是PHP5新加入的一个重大功能...
PHP防止sql注入小技巧之sql预处理原理与实现方法分析
10-15
通过理解SQL预处理的工作原理并熟练应用`mysqli`库,开发者可以在PHP有效地防止SQL注入攻击,提高应用程序的安全性。在实际项目,结合其他安全措施,如输入验证和转义,可以进一步加固系统防护。记得定期更新PHP...
使用PHP实现防止sql注入功能
05-31
本案例主要在PHP分别使用PDO的quote()方法和prepare()预处理语句来实现防止sql注入功能。 所谓sql注入,就是通过把sql命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的sql...
使用PHP实现防止sql注入功能1
08-08
PHP,可以采取多种方法来防止SQL注入,本案例主要介绍了两种:PDO的`quote()`方法和`prepare()`预处理语句。 1. **PDO的`quote()`方法**: `PDO::quote()`函数用于将字符串引号并转义特殊字符,以确保输入的...
PHP使用PDO实现mysql防注入功能详解
10-15
下面将详细讲解如何使用PDO实现MySQL的防注入功能。 1. **理解SQL注入攻击** SQL注入攻击是黑客通过输入恶意的SQL代码,利用程序对用户输入数据未经充分过滤或验证,导致程序执行非预期的数据库操作。在上述例子...
PHP怎样防止SQL注入分析
10-25
PHP使用PDO和mysqli的预处理语句是防止SQL注入的两种非常有效的方法。除此之外,还需要在软件开发的各个阶段(设计、编码、测试、部署和维护)综合考虑安全因素,遵循安全编码规范,才能构建出抵御SQL注入和...
mysql pdo prepare_MySQL pdo预处理防止sql注入的原因
weixin_33661631的博客
01-19 461
MySQL pdo预处理防止sql注入的原因:1、先看预处理的语法$pdo->prepare('select * from biao1 where id=:id');$pdo->execute([':id'=>4]);2、语句一,服务器发送一条sql给mysql服务器,mysql服务器会解析这条sql。语句二,服务器发送一条sql给mysql服务器,mysql服务器不会解析这条...
2021年PHP-Laravel面试题问卷题 答案记录
weixin_43884797的博客
05-26 5700
1. PHP的哪些语言特征,在合适的场景可以显著减少程序的内存开销? Generator Trait Type hint SPL 解析: Generator 生成器具体详解可以参考: https://blog.51cto.com/chinalx1/2089327 如果不考虑用Generator来实现协程,那么Generator的一个最大的作用就是为含有大量数据的集合(当前这些数据集是规则的,就像range所返回的那些数据)的遍历节省空间。 Trait 详细了解参考https://blog.csdn.ne
php cursor,PHP PDOStatement::closeCursor讲解
weixin_39613188的博客
03-09 152
PDOStatement::closeCursorPDOStatement::closeCursor — 关闭游标,使语句能再次被执行。(PHP 5 >= 5.1.0, PECL pdo >= 0.9.0)说明语法bool PDOStatement::closeCursor ( void )PDOStatement::closeCursor()释放到数据库服务的连接,以便发出其他 SQ...
SQL注入防御之三——SQL语句预处理PHP
心有猛虎,细嗅蔷薇!
08-26 8172
这篇文章将会告诉你,PHP怎么使用SQL语句预处理预处理语句有什么优点,以及分析预处理语句如何防止SQL注入
php 预处理注入,PHP防止sql注入小技巧之sql预处理原理与实现方法分析
weixin_39561431的博客
03-10 170
本文实例讲述了PHP防止sql注入小技巧之sql预处理原理与实现方法。分享给大家供大家参考,具体如下:我们可以把sql预处理看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。我们来看下它有什么好处:预处理语句大大减少了分析时间,只做了一次查询(虽然语句多次执行)。绑定参数减少了服务器带宽,你只需要发送查询的参数,而不是整个语句。预处理语句针对SQL注入是非常有用的,因为参数...
PHP防止sql注入小技巧之sql预处理
luyaran的博客
08-29 3308
我们可以把sql预处理看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。 我们来看下它有什么好处: 预处理语句大大减少了分析时间,只做了一次查询(虽然语句多次执行)。 绑定参数减少了服务器带宽,你只需要发送查询的参数,而不是整个语句。 预处理语句针对SQL注入是非常有用的,因为参数值发送后使用不同的协议,保证了数据的合法性。 这种预处理呢,可...
php SQL 防注入的一些经验
wang_quan_li的专栏
06-03 512
产生原因 一方面自己没这方面的意识,有些数据没有经过严格的验证,然后直接拼接 SQL 去查询。导致漏洞产生,比如: $id = $_GET['id']; $sql = "SELECT name FROM users WHERE id = $id"; 因为没有对 $_GET['id'] 做数据类型验证,注入者可提交任何类型的数据,比如 " and 1= 1 or " 等不安全的数据。
php 怎么防注入,php 防止注入的几种办法
weixin_42515120的博客
03-26 2047
php教程 防止注入的几种办法其实原来就是我们需要过滤一些我们常见的关键字和符合如:select,insert,update,delete,and,*,等等例子:function inject_check($sql_str) {return eregi('select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile',...
PDO预处理防止SQL注入
最新发布
06-02
是的,PDO预处理可以有效地防止SQL注入预处理是一种在执行SQL语句之前先将SQL语句和参数分离的机制。在分离后,PDO会将SQL语句和参数分别发送到数据库,从而避免SQL注入攻击。 使用PDO预处理的方式,可以将输入数据作为参数传递给SQL语句,从而避免了恶意用户输入一些SQL语句,从而破坏原有的SQL语句执行逻辑的情况。PDO预处理语句会自动转义输入的特殊字符,确保输入的数据不会被解释为SQL语句的一部分。 当PDO预处理执行时,数据库会在执行SQL语句之前编译它,并在接收到实际参数值后执行该语句。这确保了SQL语句和参数值之间的完全分离,并保障了SQL语句的安全性。 因此,PDO预处理是一种能够有效防止SQL注入攻击的方法,建议在使用PDO连接数据库时,优先选择使用PDO预处理语句。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值