PHP:PDO预处理机制在防SQL注入的作用/PDO CURD预处理/PDO预处理中bindValue与bindParam的不同之处

最新推荐文章于 2024-06-20 20:49:37 发布
最新推荐文章于 2024-06-20 20:49:37 发布
阅读量524 收藏 2
点赞数
分类专栏: PHP ThinkPHP6.0 文章标签: sql php 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43356354/article/details/120642125
版权
本文详细介绍了PHP PDO预处理机制如何防止SQL注入,通过实例展示了预处理在SELECT、INSERT、UPDATE和DELETE操作中的应用。同时,讨论了bindParam和bindValue的区别,前者绑定变量,后者直接绑定值,强调了在参数绑定中的注意事项。
摘要由CSDN通过智能技术生成

PHP:PDO预处理机制在防SQL注入的作用/PDO CURD预处理/PDO预处理中bindValue与bindParam的不同之处
一.PDO预处理机制在防SQL注入的作用

  • pdo预处理机制 防止sql注入
  • pdo使用 ?参数占位符 或者 命名占位符 :name
需要使用到的方法含义
prepare()准备一条将要执行的预处理语句 返回的是pdo statement 对象
bindParam()绑定一个参数到指定的变量名
execute()执行一条预处理语句

①未防止SQL注入之前

’ or 1=1 这个是一条SQL注入语句,我的数据库中没有这个账号,我们没有防止SQL注入造成的后果就是,别人随便用一条SQL语句就可以获取到我们服务器中的账号和密码,后果非常严重,所以在用户登入的时候一定要防止SQL注入

②防止SQL注入之后

大家可以看到防止SQL注入之后就获取不到我们服务器里面的信息啦!所以在做登入界面的时候一定不要忘记了防止SQL注入哦!

防止SQL注入代码块

/pdo预处理机制  防止sql注入
//pdo使用 ?参数占位符 或者 命名占位符 :name 
$select = "SELECT `uname`, `pwd` FROM user WHERE `uname` = '?';";

//prepare()方法 - 准备一条将要执行的预处理语句 返回的是pdo statement 对象
//bindParam()绑定一个参数到指定的变量名
//execute() 执行一条预处理语句
$stmt = $pdo->prepare($select);
$stmt->bindParam(1,$username,PDO::PARAM_STR);
$stmt->execute();
$res = $stmt->fetch();

二.PDO CURD预处理
①查询 SELECT FROM

SELECT FROM 代码块

/*
* ①查询 SELECT FROM
*/
$username = 'a123456';
$sql = "SELECT * FROM  user WHERE `uname` = ? ;";
$stmt = $pdo->prepare($sql);
$stmt->bindParam(1,$username);
$stmt->execute();



if ($stmt->rowCount() > 0) {
    echo "查找成功".$stmt->rowCount()."记录";
}

②增加 INSERT INTO

INSERT INTO 代码块

$SQL = "INSERT INTO `user` SET `uname` = ? ,`pwd` = ? ,`create_time` = ? ; ";
$stmt = $pdo->prepare($SQL);

$username = 'a888';
$password = 'a888';
$create_time = time();

$stmt->bindParam(1,$username);
$stmt->bindParam(2,$password);
$stmt->bindParam(3,$create_time);

$stmt->execute();

if ($stmt->rowCount() > 0) {
    echo "增加成功".$stmt->rowCount()."记录,新增id:".$pdo->lastInsertId();
}

③更新 UPDATE SET

UPDATE SET 代码块

$sql = "UPDATE `user` SET `uname` = ? WHERE `id` = ?; ";
$stmt = $pdo->prepare($sql);
$stmt->execute(['a999',3]);

if ($stmt->rowCount() >0) {
    echo "更新成功".$stmt->rowCount()."条记录";
}

④删除 DELETE FROM

DELETE FROM 代码块

$sql = "DELETE FROM `user` WHERE `id` = ? ;";
$stmt = $pdo->prepare($sql);
$stmt->execute([3]);

if ($stmt->rowCount() >0) {
    echo "删除成功".$stmt->rowCount()."记录";
}

三.PDO预处理中bindValue与bindParam的不同之处

  • bindParam()和bindValue()之间的区别:

  • bindParam()

    • bindParam()函数将参数绑定到SQL语句中的命名或问号占位符。

    • bindParam()函数用于传递变量而不是值。

  • bindValue()

    • bindValue()函数将值绑定到SQL语句中的命名或问号。

    • bindValue()函数用于传递值和变量。

①bindParam()

bindParam 代码块

$stmt->bindParam(1,$username);
$stmt->bindParam(2,$password);
$stmt->bindParam(3,$create_time);

②bindValue()

bindValue 代码块

$stmt->bindValue(1,"a888");
$stmt->bindValue(2,"a888");
$stmt->bindValue(3,time());
ZzzWClock
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php mysql预处理_采用PHP预处理SQL注入
weixin_36278817的博客
01-28 415
前言当我们需要编写一个根据用户输入进行查询反馈的网页时,首先是如何构建一个能够满足用户查询要求的SQL语句;其次,则需要考虑如何SQL注入。如何SQL注入关系到整个数据库,乃至服务器的安全,所以是一个不用忽视的问题,也是这篇文章所要论述的重点。文章接下来的讲述将会以PHP + MySQL的组合进行举例说明。利用字符串构造SQL语句很多同学在初次编写调用数据库相关的程序时,第一直觉采用的就是...
pdo mysql注入_PhpPDO查询Mysql来避免SQL注入风险的方法
weixin_28695161的博客
01-19 202
当我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHPPDO扩展的 prepare 方法,就可以避免sql injection 风险。PDO(PHP Data Object) 是PHP5新...
pdo基本使用及pdo预处理sql注入
天下熙熙,皆为利来;天下攘攘,皆为利往。
07-21 1496
$dsn = "mysql:host=localhost;dbname=pdo"; $db=new PDO($dsn,'root','root',array(PDO::MYSQL_ATTR_INIT_COMMAND=>'set names utf8')); $rs = $db->exec("insert into jq_insert(info) values('zhangsan')"); //p
PDO预编译与sql注入
最新发布
qq_64395221的博客
06-20 1039
刚学web安全的时候学到sql注入御,那些文章基本上都会说利用pdo预编译就可以近乎完美sql注入,或者看到一些渗透经验贴,遇到sql经过预编译的网站师傅们总是会建议赶紧换个站,那么预编译究竟能不能完美sql注入,或者说预编译下的sql注入有什么奇技淫巧吗?首先是第一个问题,为什么预编译或者说参数化查询可以sql注入呢?我之前看过的一个面经上是这么写的:使用参数化查询数据库服务器不会把参数的内容当作 sql 指令的一部分来执行,是在数据库完成 sql 指令的编译后才套用参数运行。
php预处理
12-30 1534
实例教程 //PHP使用预编译技术 $mysqli=new mysqli("localhost","root","123456","worddb"); if($mysqli->connect_error){ die("连接失败".$mysqli->connect_error); } //添加三个用户 $sql="insert into users(name,age,email) values
PDO预处理sql注入
LXC
06-11 1151
$pdo=new PDO('mysql:host=127.0.0.1;dbname=ci','root','root',array(PDO::MYSQL_ATTR_INIT_COMMAND=>'set names utf8')); $arr=$pdo->prepare("insert into ceshi(ip,country,province,city,district,carrier)VALU
PHPPDO预处理语句与存储过程
10-17
2. 绑定参数:使用bindParam()或bindValue()方法绑定具体参数到SQL语句的占位符。 3. 执行SQL语句:通过执行()方法,传入相应的参数执行SQL语句。 4. 获取结果:根据查询结果类型,使用fetch()、fetchColumn()或...
使用PDOsql注入的原理分析
09-09
标题的“使用PDOSQL注入的原理分析”指的是在PHP编程,使用PDOPHP Data Objects)扩展来SQL注入攻击的技术。SQL注入是一种常见的安全威胁,它允许攻击者通过输入恶意构造的SQL代码来操纵数据库PDO提供...
php_pdo 预处理语句详解
10-21
许多成熟的数据库都支持预处理语句...可以使用多种方式实现预处理,下面通过这篇文章来给大家详细的介绍下关于php_pdo预处理语句,文通过实例代码介绍的很详细,有需要的朋友们可以参考借鉴,下面来一起看看吧。
PHP PDO数据库操作预处理与注意事项
10-17
2. SQL注入预处理语句的参数不会直接与SQL字符串拼接,而是作为单独的数据传递,从而有效地止了SQL注入攻击。因为数据库驱动会负责处理这些参数,确保它们被正确地转义和处理。 以下是一个使用PDO进行...
PHP使用PDO预处理功能避免SQL注入
weixin_30546189的博客
05-19 212
不使用预处理功能 <?php $id = $_GET['id']; $dsn = 'mysql:host=localhost;port=3306;dbname=database'; try { $pdo = new PDO($dsn, $user, $pass); $sql = 'SELECT * FROM table where id = ' . $id; $stm...
PDO通过预处理语句sql注入
帅波的博客
05-26 463
简单登录页面注入 数据库:test; 建表 CREATE TABLE USER( id INT UNSIGNED AUTO_INCREMENT KEY, username VARCHAR(20) NOT NULL, password CHAR(32) NOT NULL, email CHAR(32) NOT NULL ); 向表插入一条数据: INSERT INTO user(use...
PDO预处理SQL注入
路虽远,行将至。事虽难,做必达。
04-07 6417
PDO可以被认作是一种通过编译SQL语句模板来运行SQL语句的机制。 查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编译/优化周期。简言之,预处理语句占用更少的资源,因而运行得更快。 提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,可以
2017-07-25 PDO预处理以及sql注入
ayucfqwua07405842的博客
07-25 119
首先来看下不做任何处理的php登录,首先是HTML页面代码 <html> <head><title>用户登录</title></head> <body> <fieldset> <legend><h3>用户登录</h...
thinkphp 预处理机制
PHP/Python学习
03-14 1195
where方法使用字符串条件的时候,支持预处理(安全过滤),并支持两种方式传入预处理参数,例如: $Model->where("id=%d and username='%s' andxx='%f'",array($id,$username,$xx))->select(); 复制代码 或者 $Model->where("id=%d and username='%s' andxx='%
mysql pdo 安全_PDOsql注入的原理
weixin_31427047的博客
01-27 361
首先,PDO可以被认作是一种通过编译SQL语句模板来运行sql语句的机制预处理语句可以带来两大好处:1.查询只需要被解析(或编译)一次,但可以执行多次通过相同或不同的参数。当查询处理好后,数据库将分析,编译和优化它的计划来执行查询。对于复杂的查询这个过程可能需要足够的时间,这将显著地使得应用程序变慢,如果有必要,可以多次使用不同的参数 重复相同的查询。通过使用处理好的语句的应用程序避免重复 【分...
PHP基础之预处理技术
weixin_42819066的博客
01-03 1013
PHP基础之预处理技术
php pdo注入,简单登录的PDO预处理SQL注入
weixin_34469152的博客
03-21 223
1,新建一个user表create table user(id int(4) not null primary key auto_increment,name varchar(255) not null,pwd varchar(255) not null)CHARSET=utf8;2,插入测试数据INSERTINTOuser(name,pwd)VALUES('bobo','bobo');3,...
PHP复习_PDO预处理方法的使用
测试
07-10 186
PDO预处理prepare()和execute()方法执行查询语句返回的是一个对象执行成功$res返回的是truefetch()得到查询的一条记录fetchAll()得到查询的所有记录或者fetch()和fetchAll()返回的都是二维数组(默认的是关联+索引)如果只想返回关联数组,写法如下:如果想返回的是对象,写法如下:除了这样设置,还有个方法可以直接设置返回的数组模式先声明,然后使用这样得...
PDO预处理SQL注入
06-02
是的,PDO预处理可以有效地SQL注入预处理是一种在执行SQL语句之前先将SQL语句和参数分离的机制。在分离后,PDO会将SQL语句和参数分别发送到数据库,从而避免了SQL注入攻击。 使用PDO预处理的方式,可以将输入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值