PHP 之 pdo防止Sql注入

最新推荐文章于 2022-06-07 23:14:02 发布
最新推荐文章于 2022-06-07 23:14:02 发布
阅读量877 收藏 6
点赞数 1
分类专栏: 学习笔记 pdo操作 文章标签: php  pdo sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xcguoyu2916/article/details/80398097
版权

sql 注入 

直接 SQL 命令注入就是攻击者常用的一种创建或修改已有 SQL 语句的技术,从而达到取得隐藏数据,或覆盖关键的值,甚至执行数据库主机操作系统命令的目的。这是通过应用程序取得用户输入并与静态参数组合成 SQL 查询来实现的。

  比如:在用户名输入框中输入:’or 1=1#,密码随便输入,这时候的合成后的SQL查询语句为:

      select * from `表名` where username='' or 1=1#' and password=md5('')

  语义分析:“#”在mysql中是注释符,这样井号后面的内容将被mysql视为注释内容,这样就不会去执行!

 sql语句等价:   

        select * from 表名 where username='' or 1=1#' and password=md5('')
  等价于    select * from users where username='' or 1=1
  因为1=1永远都是成立的,即where子句总是为真,将该sql进一步简化之后,等价如下select语句:
      select * from `表名`;

  该sql语句的作用是检索表中的所有字段;

下面重点介绍下  pdo中 防止MySQL的注入

$dbh = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');  
$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

setAttribute()这一行是强制性的,它会告诉 PDO 禁用模拟预处理语句,并使用 real parepared statements 。这可以确保SQL语句和相应的值在传递到mysql服务器之前是不会被PHP解析的(禁止了所有可能的恶意SQL注入攻击)。虽然你可以配置文件中设置字符集的属性(charset=utf8),但是需要格外注意的是,老版本的 PHP( < 5.3.6)在DSN中是忽略字符参数的。

$dbh = new PDO("mysql:host=localhost; dbname=demo", "user", "pass");
$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); //禁用prepared statements的仿真效果
$dbh->exec("set names 'utf8'");
$sql="select * from test where name = ? and password = ?";
$stmt = $dbh->prepare($sql);
$exeres = $stmt->execute(array($testname, $pass));
if ($exeres) {
 while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
     print_r($row);
 }
}
$dbh = null;
     
上面这段代码就可以防范sql注入。为什么呢?

当调用 prepare() 时,查询语句已经发送给了数据库服务器,此时只有占位符 ? 发送过去,没有用户提交的数据;
当调用到 execute()时,用户提交过来的值才会传送给数据库,他们是分开传送的,两者独立的,SQL攻击者没有一点机会。

但是我们需要注意的是以下几种情况,PDO并不能帮助你防范SQL注入

1、你不能让占位符 ? 代替一组值,如:
复制代码 代码如下:

SELECT * FROM blog WHERE userid IN ( ? );

2、你不能让占位符代替数据表名或列名,如:
复制代码 代码如下:

SELECT * FROM blog ORDER BY ?;

3、你不能让占位符 ? 代替任何其他SQL语法,如:
复制代码 代码如下:

SELECT EXTRACT( ? FROM datetime_column) AS variable_datetime_element FROM blog;


注意: 还有其他的方式:  这里只介绍着一种;

大超猿
关注
专栏目录
PDO防止mysql注入(三种方式)
qq_36910975的博客
05-18 725
文章目录PDO的简述防止mysql的措施 PDO的简述 pdo数据对象扩展是php访问数据库的一个轻量级接口,PDO 提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。 防止mysql的措施 使用quote过滤特殊字符,为SQL语句中的字符串添加引号,转为字符串 $dbms='mysql'; //数据库类型 $host='127.0.0.1'; //数据库主机名 $dbName='test'; //使用的数据库 $user='root'
使用PDOsql注入的原理分析
12-16
本文使用pdo的预处理方式可以避免sql注入。下面话不多说了,来一起看看详细的介绍吧 在php手册中’PDO–预处理语句与存储过程’下的说明: 很多更成熟的数据库都支持预处理语句的概念。什么是预处理语句?可以把它...
使用PDO查询Mysql来避免SQL注入风险
大头爸爸的博客
04-03 1933
当我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHPPDO扩展的 prepare 方法,就可以避免sql injection 风险。         PDO(PHP Data Obje
使用PDO查询mysql避免SQL注入
weixin_34194359的博客
03-27 198
使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严紧,就有SQL注入风险。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHPPDO扩展的 prepare 方法,就可以避免sql injection 风险。 PDO(PHP Data Object) 是PHP5新加入的一个重大功能...
PHP利用PDO实现mysql防注入
theVicTory的博客
03-17 1653
1、什么是注入攻击例如下例:前端有个提交表格: &lt;form action="test.php" method="post"&gt; 姓名:&lt;input name="username" type="text"&gt; 密码:&lt;input name="password" type="password&quot
php pdo sql注入,PHP使用PDO简单实现防止SQL注入的方法
weixin_29194693的博客
03-10 410
PHP使用PDO简单实现防止SQL注入的方法方法一:execute代入参数
php防止sql注入的方法详解
10-20
使用预处理语句是防止SQL注入的最有效方法之一。预处理语句将SQL结构与数据分开处理,确保数据不会干扰SQL语句的结构。在PHP中,可以使用PDOPHP Data Objects)或MySQLi的预处理功能来实现。例如: ```php $...
php防止SQL注入的最佳解决方法
10-27
总结来说,使用预编译语句和参数化查询是PHP防止SQL注入的最佳方法。它通过将SQL语句的结构与参数值的绑定分离,极大地降低了SQL注入的风险,保护了应用程序的安全。开发者应当在实际开发中充分运用这些技术,确保...
php防止SQL注入详解及防范
12-19
PHP是Web开发中常用的脚本语言,因此理解如何在PHP防止SQL注入至关重要。 在PHP中,防止SQL注入的两个关键步骤是: 1. **数据过滤**:对用户输入进行验证和清理,确保输入的数据符合预期的格式。例如,如果你...
php pdo 防注入写法,phpsql注入类(php pdo防止sql注入的类)
weixin_28366475的博客
03-17 125
class Model{protected $tableName="";//表名称protected $pOb;//pdo类对象function __construct(){$pdo=new PDO("mysql:host=".DB_HOST.";dbname=".DB_NAME,DB_USERNAME,DB_PASSWORD);$pdo->exec("set names ".DB_CHAR...
SQL注入php代码
08-24
SQL注入php,通用防注入类
PHP PDO 防止SQL注入
yyt8yyt8的专栏
03-28 2187
使用PDO的好处: 1> 防止SQL注入 2> 提高执行效率 每条SQL执行前,MYSQL数据库都需要先进行编译(即便是一个空格也可能引起重新编译)。在循环执行多条数据时,使用prepare方式传入不同参数可以减少编译时间 大部分常见数据库都支持prepare语句,即便数据库不支持,pdo也会采用模拟的方式来实现,简单来说就是pdo自己对数据做quote,然后把结果拼接成sql再执行
php mysql pdo 防注入_PHP利用PDO实现mysql防注入
weixin_36121354的博客
01-19 127
1、什么是注入攻击例如下例:前端有个提交表格:姓名:密码:后台的处理如下:$username=$_POST["username"];$password=$_POST["password"];$age=$_POST["age"];//连接数据库,新建PDO对象$pdo=new PDO("mysql:host=localhost;dbname=phpdemo","root","1234");$sql=...
php 使用PDO防止sql注入 简单说明
1_bit 的博客
03-05 1865
PDOphp5假如以下是一个简单的登录处理:使用PDO连接mysql首先:新建数据库new PDO("mysql:host=localhost;dbname=test","root","root");host:服务器 dbname:数据库名 后面两个分别是帐号和密码 默认不是长连接如果想使用长连接需要在后面加入参数:new PDO("mysql:host=host;dbname=name",
PDO场景下的SQL注入
qq_53142368的博客
06-07 670
0x01 PDOPDOPHP Data Objects)是PHP数据对象的2缩写,是一种在PHP里连接数据库的使用接口。PDO与mysqli曾经被建议用来取代原本PHP在用的mysql相关函数,基于数据库使用的安全性,因为后者欠缺对于SQL注入的防护。 0x01 PDO的特点 1,编码的一致性 由于PHP可用的各种数据库扩展是由不同发行者编写的,所以尽管所有的扩展都提供了基本相同的特性,却不满足编码的一致性。PDO消除了这种不一致,提供了可用于各种数据库的单一接口; 2.灵活性 因为PDO在运行时加载
PDO预处理防御SQL注入
路虽远,行将至。事虽难,做必达。
04-07 6430
PDO可以被认作是一种通过编译SQL语句模板来运行SQL语句的机制。 查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编译/优化周期。简言之,预处理语句占用更少的资源,因而运行得更快。 提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,可以
pdo mysql 防注入_关于PDOsql注入问题
weixin_34070493的博客
01-21 95
大部分常见数据库都支持prepare语句,以postgresql为例PREPARE fooplan (int, text, bool, numeric) ASINSERT INTO foo VALUES($1, $2, $3, $4);EXECUTE fooplan(1, 'Hunter Valley', 't', 200.00);第一句把insert prepare成为名为fooplan的sta...
PHP安全防护代码:防止SQL注入
"提供了一个PHP通用的防注入安全代码示例,用于检查并防止SQL注入攻击。" 在Web开发中,安全是至关重要的,尤其是对于使用PHP这种常见的服务器端脚本语言来说。SQL注入是一种常见的安全漏洞,攻击者可以通过在表单...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值