使用php PDO扩展 来防止sql注入

最新推荐文章于 2024-04-12 17:03:13 发布
最新推荐文章于 2024-04-12 17:03:13 发布
阅读量186 收藏
点赞数
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45427650/article/details/105758141
版权

PHP PDO

PHP 数据对象 (PDO) 扩展为PHP访问数据库定义了一个轻量级的一致接口。
PDO 提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。
PDO随PHP5.1发行,在PHP5.0的PECL扩展中也可以使用,无法运行于之前的PHP版本。

使用PDO连接到 MySQL

语法:

<?php
$dbh = new PDO('mysql:host=localhost;dbname=test', $user, $pass);
?>

实例:

<?php
$dbms='mysql';     //数据库类型
$host='localhost'; //数据库主机名
$dbName='test';    //使用的数据库
$user='root';      //数据库连接用户名
$pass='';          //对应的密码
$dsn="$dbms:host=$host;dbname=$dbName";


$dbh = new PDO($dsn, $user, $pass); //初始化一个PDO对象  连接成功

使用PDO::prepare 来准备要执行的SQL语句

$st = $pdo->prepare("select * from share where id =? and uid = ?");

$id = 6;
$uid = 521;

$st->bindParam(1, $id);
$st->bindParam(2, $uid);

$st->execute();

上述代码中,?是占位符,可以安全的绑定任意值。预处理语句会自动过滤 $id,$uid 的值,防止数据库受到SQL注入攻击

php 5.3.6+ 可以直接使用上面的方式
但是 php版本<5.3.6 则需要考虑其他的情况
资料:
https://www.cnblogs.com/leezhxing/p/5282437.html

其他参考资料:
https://blog.csdn.net/m_zhurunfeng/article/details/78875019
https://blog.csdn.net/qq_37910492/article/details/86504507

心如熊猫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP PDO,预处理方式(PDOStatement对象)实现 增删改查。防sql注入
houyanhua1的专栏
02-26 3993
demo.php(?号式的预处理sql语句,增删改): <?php //?号式的预处理语句 一共有3种绑定方式 //1.连接数据库 try{ $pdo = new PDO("mysql:host=localhost;dbname=数据库名","root","密码"); }catch(PDOException $e){ die("数据库连接失败".$e->getMessage());
使用PDO查询mysql防止SQL注入
oBaiLaTu12的博客
03-10 501
demo文件<?php require_once 'config.inc.php'; $dbh = new PDO(DB_DSN, DB_USER, DB_PWD); $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); //禁用prepared statements的仿真效果 $dbh->exec("set names 'utf8'")
pdo-quote()之防 sql 注入
文刂東敏
10-11 805
<?php header('content-type:text/html;charset=utf-8'); try{ $name=$_POST['name']; $pwd=$_POST['pwd']; $pdo=new PDO("mysql:host=localhost;dbname=test",'root','root'); $pdo->query("set n
PHP代码中PDO模块对SQL注入的防范
单核CPU的小朋友的博客
09-02 344
近些天做一个WEB应用程序的时候被人进行了SQL注入,本来是觉得,POD模块使用了参数化查询就不会存在这种被SQL注入的情况,事实告诉我,我还是太年轻了。 至于SQL注入是什么,在这里就不再探讨,本质上是应用程序在编程过程中存在逻辑漏洞导致的SQL执行语句与我们想的不一致所触发的非授权访问。一般来说通过安装软/硬WAF能够较好的解决和处理这个问题,同时也需要应用程序猿在编程过程中能够有意识的避免这个问题的发生。 先看我之前写的SQL查询代码,这边PDO链接的代码就不放出了,已经建立的链接使用变量$db来表示
防止 SQL 注入PHP PDO 准备语句教程
allway2的博客
08-21 554
PDO 的真正优势在于,您在它支持的无数数据库中都使用了几乎相似的 API,因此您无需为每个数据库学习新的 API。不幸的是,在关闭模拟模式的情况下,您不能多次使用相同的命名参数,因此对于本教程来说它是无用的。这是推荐的方法,您显然可以将您的字符集设置为您的应用程序需要的任何内容(尽管 utf8mb4 是相当标准的)。其中任何一种都可以完全接受,尽管 PDO 对大多数用户来说是更好的选择,因为它更简单、更通用,而 MySQLi 有时更适合高级用户,因为它有一些 MySQL 特定的功能。
PDO预处理防御SQL注入
路虽远,行将至。事虽难,做必达。
04-07 6362
PDO可以被认作是一种通过编译SQL语句模板来运行SQL语句的机制。 查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编译/优化周期。简言之,预处理语句占用更少的资源,因而运行得更快。 提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,可以
PHP简单有效防止sql注入方法
最新发布
qq_29203949的博客
04-12 715
开发中如何防止sql注入攻击
php防止SQL注入详解及防范
12-19
PHP是Web开发中常用的脚本语言,因此理解如何在PHP防止SQL注入至关重要。 在PHP中,防止SQL注入的两个关键步骤是: 1. **数据过滤**:对用户输入进行验证和清理,确保输入的数据符合预期的格式。例如,如果你...
使用PDOsql注入的原理分析
09-09
标题中的“使用PDOSQL注入的原理分析”指的是在PHP编程中,使用PDOPHP Data Objects)扩展防止SQL注入攻击的技术。SQL注入是一种常见的安全威胁,它允许攻击者通过输入恶意构造的SQL代码来操纵数据库。PDO提供...
php防止sql注入的方法详解
12-18
SQL注入是一种常见的...总之,防止SQL注入需要多层防御,包括正确处理用户输入、使用预处理语句、限制数据库权限、进行输入验证以及持续更新和监控。通过这些方法,开发者可以大大降低PHP应用遭受SQL注入攻击的风险。
php使用PDO执行SQL语句的方法分析
10-20
主要介绍了php使用PDO执行SQL语句的方法,结合实例形式分析了PDO常用SQL函数功能及使用技巧,需要的朋友可以参考下
SQL注入php代码
08-24
SQL注入php,通用防注入
tieba_spider.py
09-28
关于python爬虫的知识,主要写的是用python写的爬虫,爬取百度贴吧上的图片
PHP防止SQL注入实现代码
10-28
PHP开发中,SQL注入是一种常见的...总之,防止SQL注入PHP开发中的核心任务,需要结合多种方法和技术来确保数据安全。通过使用预处理语句、限制数据库权限、输入验证和妥善处理错误,可以有效地降低SQL注入的风险。
Php中用PDO查询Mysql来避免SQL注入风险的方法
10-27
标题中的“PHP中用PDO查询MySQL来避免SQL注入风险的方法”指的是使用PHPPDOPHP Data Objects)扩展来执行数据库查询,从而降低SQL注入的风险。SQL注入是一种常见的网络安全威胁,黑客可以通过构造恶意输入来篡改...
PDO场景下的SQL注入
qq_53142368的博客
06-07 616
0x01 PDOPDOPHP Data Objects)是PHP数据对象的2缩写,是一种在PHP里连接数据库的使用接口。PDO与mysqli曾经被建议用来取代原本PHP在用的mysql相关函数,基于数据库使用的安全性,因为后者欠缺对于SQL注入的防护。 0x01 PDO的特点 1,编码的一致性 由于PHP可用的各种数据库扩展是由不同发行者编写的,所以尽管所有的扩展都提供了基本相同的特性,却不满足编码的一致性。PDO消除了这种不一致,提供了可用于各种数据库的单一接口; 2.灵活性 因为PDO在运行时加载
php pdo sql注入,「原创」PHP实战-PDO优化及 SQL注入
weixin_36246029的博客
03-10 376
PDO优化,SQL注入攻击PDO SQL语句预处理PDO SQL语句预处理的步骤第1步:制作相同结构的SQL将SQL语句不同的数据部分,用参数或问号来代替。第2步:将相同结构的SQL语句预编译PDO::prepare1. 功能:将相同结构的SQL语句预编译1. 语法:public PDOStatement PDO::prepare ( string $statement )第3步:将真正的数据与占...
ASP.NET网站程序防SQL注入式攻击方法
SoftFairy的专栏
12-06 1295
ASP.NET网站程序防SQL注入式攻击方法 一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴
php pdo sql注入,PHP使用PDO简单实现防止SQL注入的方法
weixin_29194693的博客
03-10 401
PHP使用PDO简单实现防止SQL注入的方法方法一:execute代入参数
php 防止sql注入
07-21
使用 PDO 或者 MySQLi 扩展库提供的预处理语句功能可以有效防止 SQL 注入。 示例代码(使用 PDO 扩展库): ```php $stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username"); $stmt->bindParam('...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值