mysql 绑定参数_mysql绑定参数bind

最新推荐文章于 2022-11-01 07:00:00 发布
最新推荐文章于 2022-11-01 07:00:00 发布
阅读量750 收藏
点赞数
文章标签: mysql 绑定参数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42402188/article/details/113168435
版权

下面我们来模拟一个用户登录的过程.. ?php $username = aaa; $pwd = pwd; $sql = SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'; echo $sql; //输出 SELECT * FROM table WHERE username = 'aaa' AND pwd = 'pwd' ? 这样去执行这

下面我们来模拟一个用户登录的过程..

输出 SELECT * FROM table WHERE username = 'aaa' AND pwd = 'pwd'

?>

这样去执行这个sql语句.显然是可以查询出来东西的.返回用户的这一列.登录成功!!

然后我改一下..把密码改一下.随便一个值.如下.我改成了ppp.

输出 SELECT * FROM table WHERE username = 'aaa' AND pwd = 'ppp'

?>

这样很显然.如果去执行这个SQL语句..是查询不到东西的.也就是密码错误.登录失败!!

但是有的人总是不老实的.他们会想尽一切办法来进行非法的登录.所谓非法就是在他不知道用户名密码的时候进行登录.并且登录成功..

那么他们所做的原理是什么呢??其实原理都是利用SQL语句..SQL语句强大的同时也给我们带来了不少麻烦..

我来举个最简单的例子.我们要运用到的SQL关键字是or

还是上面的代码.我们只要修改一下密码即可

输出 SELECT * FROM table WHERE username = 'aaa' AND pwd = 'fdsafda' or '1'='1'

?>

执行一下这个SQL语句..可怕的事情发生了..竟然可以查询到这一行数据..也就是登录成功了..

这是多么可怕的事情..

SQL注入演示教程,见博文:http://blog.csdn.net/wusuopubupt/article/details/8818996

PHP为了解决这个问题.magic_quotes state..就是PHP会自动过滤传过来的GET.POST等等.

题外话.实践证明这个东西是畸形的..大部分程序不得不为判断此功能而耗费了很多代码..

在Java中可没有这个东西..那么Java中如何防止这种SQL注入呢??

Java的sql包中提供了一个名字叫PreparedStatement的类.

这个类就是我要说的绑定参数!

什么叫绑定参数??我继续给大家举例..(我用PHP举例)

当然.到此.你肯定不知道会输出什么..更无法知道绑定参数有什么好处!这样做的优势是什么.更不知道bindParam这个函数到底做了什么.

下面我简单的写一下这个函数:

注:由于得知道去除问号的次数..所以我用了一个global来解决.如果放到类中就非常容易了.弄个私有属性既可

通过上面的这个函数.我们知道了..绑定参数的防注入方式其实也是通过转义进行的..只不过是对于变量而言的..

我们来做一个实验:

输出 SELECT * FROM table WHERE username = 'aaaa' AND pwd = 123

?>

可以看到.生成了非常正规的SQL语句.那么好.我们现在来试下刚才被注入的那种情况

输出 SELECT * FROM table WHERE username = 'aaa' AND pwd = 'fdsafda\' or \'1\'=\'1'

?>

可以看到.pwd内部的注入已经被转义.当成一个完整的字符串了..这样的话.就不可能被注入了.

http://hi.baidu.com/woyigui/item/afc6ec2efaa49f0f73863e2e

参考:http://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php

本条技术文章来源于互联网,如果无意侵犯您的权益请点击此处反馈版权投诉

本文系统来源:php中文网

懂车老王
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php mysql_real_escape_string addslashes及mysql参数防SQL注入攻击
12-18
php mysql_real_escape_string addslashes及mysql参数防SQL注入攻击 php防止SQL注入攻击一般有三种方法: 使用mysql_real_escape_string函数 使用addslashes函数 使用mysql bind_param() 本文章向大家详细...
mysql参数_MySQL数据库操作中参数的使用
weixin_30950075的博客
01-18 1073
主要是总结一下进行常用数据库查询(操作)时常常用到的包括PDO和mysqli中应该注意的参数,以降低被sql注入的风险。在mysqli连接数据库时,使用函数bind_param()。使用范例:$mysqli = new mysqli('localhost', 'my_user', 'my_password', 'world');/* check connection */if (mysqli_...
Mybatis <bind>标签用法
q283614346的博客
10-16 1万+
&lt;bind&gt;标签可以使用ONGL(Object-Graph Navigation Language, 对象图形化导航语言)表达式创建一个变量并将其到上下文中。如以下代码: &lt;if test="userName != null and userName != ''"&gt; and user_name like concat('%', #{userName} ,'%') &...
mysql 参数_MySQL 使用 Perl 参数和列
weixin_33164198的博客
01-27 268
SQL 语句通常是动态构建的,用户提供一些输入,并将其内置到语句中。 程序员每次处理用户的输入时都必须谨慎。 它具有一些严重的安全隐患。 动态构建 SQL 语句的推荐方法是使用参数参数可以防止 SQL 注入程序。 它会自动转义一些特殊字符并允许正确处理它们。 当我们准备语句并参数时,许多数据库也会显着提高其性能。该示例从Cars表中为特的汽车名称选择一行。这是一个可能来自用户的值。...
MySQL知识点】自动增长
m0_55394328的博客
11-01 1万+
利用MySQL提供的自动增长功能来自动生成主键的值,防止插入的值重复导致插入失败。自动增长功能通过来实现,基本语法格式如下:字段名 数据类型 auto_increment;以上就是今天的学习内容啦~如果有兴趣的话可以订阅专栏,持续更新呢~咱们下期再见~
Ubuntu下取消MySQL数据库本机限制方法
12-15
原因:Ubuntu系统中,默认安装的MySQL限制了只有本机才能访问数据库解决办法:取消MySQL数据库的本机限制nano /etc/mysql/my.cnf #编辑配置文件找到bind-address = 127.0.0.1改为#bind-address = 127.0.0.1ctrl+...
bind-mysql control panel-开源
04-24
Dnsqlpanel是使用mysql sdb模块进行的易于使用的控制面板。 它提供对表的直接访问,这些表了实时修改数据的读取。
mysql远程登录出错的解决方法
01-19
错误:ERROR 2003 (HY000): Can’t connect to MySQL server on… 解决办法: 1,默认情况下Mysql只允许本地登录,所以需要修改配置文件将地址给注释掉: $sudo vi /etc/mysql/my.cnf #bind-address = 127.0.0.1 ...
debian6配置mysql允许远程连接的方法(图)
01-19
默认情况下Mysql只允许本地登录,所以需要修改配置文件将地址给注释掉: 代码如下:vim /etc/mysql/my.cnf #bind-address = 127.0.0.1 <—注释掉这一行就可以远程登录了 若还是不行,请本地登录mysql执行...
mysql bind param_mysql参数bind_param原理以及防SQL注入
weixin_28756833的博客
01-27 258
下面我们来模拟一个用户登录的过程..《?php$username="aaa";$pwd="pwd";$sql="SELECT*FROMtableWHEREusername='{$username}'ANDpwd='{$pwd}'";echo$sql;//输出SELECT*FROMtableWHEREusername='aaa'ANDpwd='pwd'?...
mysql参数bind_param原理以及防SQL注入
热门推荐
wusuopuBUPT的专栏
07-31 4万+
原文地址 :http://hi.baidu.com/woyigui/item/afc6ec2efaa49f0f73863e2e 参数原理以及SQL注入.. 假设我们的用户表中存在一行.用户名字段为username.值为aaa.密码字段为pwd.值为pwd.. 下面我们来模拟一个用户登录的过程.. $username = "aaa";  $pwd = "pwd
mysql的数据
flyingfalcon的专栏
12-28 2465
mysql 参数
MySQL变量的简单介绍
zju小新的博客
04-27 4155
变量 这个就是Java里面的PreparedStatement了。 PreparedStatement pstmt = con.prepareStatement("UPDATE table4 SET m = ? WHERE x = ?"); pstmt.setString(1, "Hi"); for (int i = 0; i pstmt.setInt(2, i); int rowC
mysql使用bind_param()参数来防止SQL注入攻击
luyaran的博客
12-01 3102
什么是sql注入攻击 在阅读这篇文章之前,我们必须要了解sql注入攻击的原理,下面我们使用一个简单的实例来介绍sql注入攻击,以php语言为例: $username="manongjc"; $pwd="123"; $sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'"; 此时sql语句为:
PHP MySql通过PDO的bindParam 给in 参数
y_server的博客
05-21 3974
最近开发中遇到一个问题,使用PDO进行数据库操作的时候,使用bindParam 方式给in参数,发现SQl只能查到 in 里边的第一个参数的值,通过打印发现in 里边的参数是这样的:`current_state` in('1,6') 按照需求应该是:`current_state` in(1,6) 多了一个单引号,导致查询到的结果只能查到第一条解决方案:$sta = "1,6"; //自行...
php中mysql参数详解
xzchenxiao的专栏
10-17 9567
参数详解 CDbCommand表示一个针对数据库执行的SQL语句,CDbCommand支持SQL语句预处理和参数。 调用 bindParam 去一个PHP变量到SQL中的一个参数。 调用 bindValue 去一个值到一个SQL参数。 当一个参数时,此SQL语句将自动准备好。 也可以调用prepare去明确的准备一条SQL语句。   参数形式: 1、 
mysql参数_如何在mysql查询中参数
weixin_39772388的博客
01-18 187
I have search for bind parameters. But it just getting me confused. I'm really a beginner in php and mysql.here is code:$query ="UPDATE table_user_skills SET rating='" . $_POST["rating"] . "' where ra...
MySQL-SQL变量
心相印的专栏
10-28 6166
变量是为了减少解析的,只用生成一次执行计划,提高sql的执行效率。
mysql_stmt_free_result mysql_errno mysql_close mysql_init mysql_options mysql_real_connect mysql_autocommit mysql_set_character_set mysql_rollback mysql_stmt_close mysql_stmt_errno mysql_stmt_free_result mysql_stmt_bind_param mysql_stmt_bind_result mysql_stmt_execute mysql_stmt_fetch
最新发布
05-31
- mysql_stmt_bind_param:将变量MySQL 语句的参数上。 - mysql_stmt_bind_result:将变量MySQL 语句的结果上。 - mysql_stmt_execute:执行 MySQL 语句。 - mysql_stmt_fetch:获取 MySQL 语句的下一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值