php pdo占位符的使用

最新推荐文章于 2021-04-23 20:10:12 发布
最新推荐文章于 2021-04-23 20:10:12 发布
阅读量3.9k 收藏 1
点赞数 3
分类专栏: php 文章标签: php pdo sql注入 占位符
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xgs736214763/article/details/78849428
版权

原文地址 https://xiegaosheng.com/post/view?id=39

php pdo的使用

防止sql注入

$dbms='mysql';     //数据库类型
$host='localhost'; //数据库主机名
$dbName='test';    //使用的数据库
$user='root';      //数据库连接用户名
$pass='root';          //对应的密码
$dsn="$dbms:host=$host;dbname=$dbName";


try {
    $db = new PDO($dsn, $user, $pass); //初始化一个PDO对象
} catch (PDOException $e) {
    die ("Error!: " . $e->getMessage() . "<br/>");
}

$username = isset($_GET['username'])?$_GET['username']:'';
$ip = isset($_GET['ip'])?$_GET['ip']:'';
$mac = isset($_GET['mac'])?$_GET['mac']:'';
$apMac = isset($_GET['apMac'])?$_GET['apMac']:'';
$loginTime = isset($_GET['loginTime'])?$_GET['loginTime']:'';
$time = date('Y-m-d H:i:s');

//编写sql使用占位符
$sql = "insert into test(username,ip ,mac ,apMac ,loginTime ,insert_time)
 values(:username,:ip ,:mac ,:apMac ,:loginTime ,'$time')";
$query = $db->prepare($sql);
/**
感觉挺麻烦的
$query->bindParam(':username',$username);
$query->bindParam(':ip ',$ip );
$query->bindParam(':mac ',$mac );
$query->bindParam(':apMac ',$apMac );
$query->bindParam(':loginTime ',$loginTime );
$query->execute();
**/
$result = $query->execute(array(
	':username' => $username,
	':ip ' => $ip,
	':mac ' => $mac,
	':apMac ' => $apMac,
	':loginTime ' => $loginTime,
));
 

 

谢高升
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
php使用PDO方法详解
10-25
`bindParam()` 或 `bindValue()` 用于绑定参数到占位符。`bindParam()` 将变量直接绑定,而`bindValue()`只是一次性绑定。示例: ```php $sql = 'INSERT INTO users (username, email) VALUES (:username, :email)'...
php连接数据库之PDOPDO的简单使用和预定义占位符使用以及PDOStatement对象的使用占位符的不同形式,bindValue和bindParam绑定预定义占位符参数的区别
m0_63622279的博客
04-20 832
PDO对预处理语句的支持需要使用PDOStatement类对象,但该类对象并不是通过NEW关键字实例化出来的,而是通过PDO对象中的prepare()方法,在数据库服务器中准备好一个预处理的SQL语句后直接返回的。如果通过之前执行PDO对象中的query()方法返回的PDOStatement类对象,只代表的是一个结果集对象。而如果通过执行PDO对象中的prepare()方法产生的PDOStatement类对象,则为一个查询对象,能定义和执行参数化的SQL命令。连接数据库,获取PDO实例对象。
PHP pdo 详细介绍
weixin_45860648的博客
01-02 295
PDO类基本应用:了解PDO类的方法,使用PDO方法解决相应需求问题 PDO类虽然提供了很多方法,但是常用的方法有以下几个 PDO::__construct():实例化PDO对象 PDO::exec():执行一个写操作SQL指令,返回受影响的行数 PDO::query():执行一个读操作SQL指令,返回一个PDOStatement类对象(后者进行数据解析操作) PDO::errorCode()和P...
php mysql 占位符_PDO中预处理语句占位符使用
weixin_28676181的博客
01-20 1084
摘要:占位符php程序中有着非常重要的作用,对数据安全也有着非常重要的意义,通过占位符我们可以有效验证传入参数的有效性,从而防止恶意的SQL注入攻击。 使用PDO时不使用预处理语句占位符也可以防止SQL注入,我们可以使用quote()方法来防止SQL注入。quote()为输入的字符串添加引号(如果有需要),并对特殊字符进行转义,且引号的风格和底层驱动适配。虽然quote()可以通过加引号及...
php pdo 占位符,phpPDO更新不替换预准备语句中的占位符
weixin_39939918的博客
03-22 89
我试图用以下代码更新表.如果我更改WHERE temp_booking_id =’:temp_booking_id’“);要使用实际的当前会话temp_id,查询将运行,但将占位符添加到表中(例如:签出)作为值.$data保持正确的值,但不替换占位符.一直盯着这几个小时,不能为我的生活解决问题所在,并环顾四周,但没有找到解决方案.PDOStatement:errorInfo()正在返回PDOSta...
pdo mysql limit_解决PHP PDO limit占位符无效
weixin_42612804的博客
02-28 389
PHP PDO 方式操作 MySQL 数据库,当占位符在 limit 后时,导致选出的结果不正确。其实最后结果不是预期,是因为 limit 后面的内容在 PDO 看来认为必须是数字,所以 bindValue 或者 bindParam 必须传入类型参数 PDO::PARAM_INT。这个坑被前人踩了无数次啦,这个问题有人说算 Bug,最近我还是踩了一次。因为我在 PHP7 和 PHP5 之间经常来回...
pdo.rar_php pdo
09-24
PDO中,你可以定义一个带有占位符的SQL语句,然后绑定实际值,确保数据被正确且安全地转义。 3. **事务处理**:PDO支持事务,这对于需要执行一系列数据库操作并且要求这些操作要么全部成功要么全部回滚的情况非常...
PHP使用PDO调用mssql存储过程的方法示例
10-19
在上述代码中,`prepare()`方法用于预编译SQL语句,`bindParam()`方法将变量绑定到占位符(问号`?`),这样可以避免SQL注入攻击。然后执行存储过程`execute()`,获取结果集的列数`columnCount()`,最后通过`fetch()`...
PHP使用PDO实现mysql防注入功能详解
10-15
通过`prepare`方法创建一个带有占位符的SQL语句,然后用`execute`方法传入实际的值。这种方式可以确保数据被正确地格式化为SQL语句的一部分,而不会被解释为SQL命令。例如: ```php $sql = "SELECT * FROM login ...
详解PHP PDO简单教程
10-16
命名参数使用冒号前缀的变量名作为占位符,如`:name`和`:age`,然后使用`bindParam()`将变量与占位符关联。 预处理语句在多次使用相同的SQL模板时特别有用,因为它允许你重用已编译的查询计划,提高性能,并确保...
php mysql 占位符_php操作mysql【mysqli、pdo
weixin_35848310的博客
02-28 611
一、什么是pdoPHP数据对象(PDO)扩展为PHP访问数据库定义了一个轻量级的一致接口。PDO提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。PDOPHP5.1发行,在PHP5.0的PECL扩展中也可以使用,无法运行于之前的PHP版本。二、安装pdo你可以通过PHPphpinfo()函数来查看是否安装了PDO扩展。【环境中基本上都已经安装了...
PDO中的预处理——位置占位符
天天的博客
04-23 361
PDO中的预处理——位置占位符 <?php $dsn='mysql:dbname=data;charset=utf8'; $pdo=new PDO($dsn,'root','root'); //创建预处理对象 $stmt=$pdo->prepare("insert into bank values (?,?)"); //?是占位符 //执行预处理 $cards=[ ['1003',500], ['100.
php mysql占位符_php pdo占位符使用(代码实例讲解)
weixin_36379084的博客
01-19 279
本篇讲解php pdo占位符使用php pdo占位符使用(代码实例讲解)php pdo使用防止sql注入$dbms='mysql';//数据库类型$host='localhost';//数据库主机名$dbName='test';//使用的数据库$user='root';//数据库连接用户名$pass='root';//对应的密码$dsn="$dbms:host=$host;dbname=$...
[PHP]PDO占位符预处理在 IN 和 LIKE 中用法
dilunzhuang0924的博客
12-18 678
两点注意项: 1. 占位符 (?) 必须被用在整个值的位置,不需要引号等其它字符。 2. 参数按数组元素顺序依次传递给占位符。 <?php /** * PDO基于占位符的查询预处理 * * @license Apache * @author farwish <farwish(a)foxmail.com> */ $pdo = ...
PHP学习总结(四)
zxh543362234的博客
08-13 341
涉及到PDO的相关知识,没怎么整理,准备下次总结下PHP链接数据库的几种方式、 一.PDO的介绍安装及初对象初始化    PDO类,和数据库链接有关的类(链接)    PDOSatement 类,准备语句,处理结果集    PDOException 1.$source="mysql:host=localhost;databasename"   tyr{   $mysqli=n
PHPPDO笔记
学习记录
02-23 172
1、 PDO介绍 1.1 连接数据库方式 方法一:mysql扩展【这种方式php7已经淘汰】 方法二:mysqli扩展 方法三:PDO扩展 1.2 PDO介绍 PDOPHP Data Object)扩展为PHP访问各种数据库提供了一个轻量级,一致性的接口。无论访问什么数据库,都可以通过一致性的接口去操作。 1.3 开启PDO扩展 开启PDO连接MySQL扩展 extension=php_pdo_mysql.dll 2、 PDO核心类 1、PDO类:表示PHP和数据库之间的一个连接 2、PDOStat
php mysql 占位符_phppdo占位符使用(代码实例讲解)
weixin_39790686的博客
02-02 127
本篇讲解php pdo占位符使用php pdo占位符使用(代码实例讲解)php pdo使用防止sql注入$dbms='mysql';//数据库类型$host='localhost';//数据库主机名$dbName='test';//使用的数据库$user='root';//数据库连接用户名$pass='root';//对应的密码$dsn="$dbms:host=$host;dbname=$...
php sql查询占位符,使用命名占位符时的PHP / SQL插入错误
weixin_34002071的博客
03-10 159
小编典典您$userData的语句所绑定的占位符必须完全相同,且不能多于或少于。请参阅PDOStatement::execute文档,其内容为“您不能绑定的值不能超过指定的值”。您需要准备参数以execute()完全匹配您的绑定。array_intersect_key()如果正确安排阵列,这很容易。我通常将其包装在一个函数中,该函数还将处理前缀,如下所示:// Adds a prefix to a...
phpPDO接口的使用
最新发布
05-14
PDOPHP Data Objects)是 PHP 中一个轻量级的、通用的数据库访问接口,它提供了一种简单、一致的方法来访问不同类型的数据库。使用 PDO 接口可以方便地连接多种不同的数据库,如 MySQL、PostgreSQL、Oracle 等。 以下是使用 PDO 连接 MySQL 数据库并查询数据的示例: ```php // 数据库连接参数 $host = 'localhost'; $dbname = 'test'; $user = 'root'; $password = ''; // 连接数据库 $dsn = "mysql:host=$host;dbname=$dbname;charset=utf8mb4"; try { $pdo = new PDO($dsn, $user, $password); } catch (PDOException $e) { die('数据库连接失败:' . $e->getMessage()); } // 查询数据 $sql = "SELECT * FROM users WHERE id = :id"; $stmt = $pdo->prepare($sql); $stmt->bindValue(':id', 1, PDO::PARAM_INT); $stmt->execute(); $user = $stmt->fetch(PDO::FETCH_ASSOC); // 输出结果 print_r($user); ``` 这个示例中,首先定义了数据库连接参数,然后使用 `$dsn` 字符串创建 PDO 对象,最后使用 `prepare()` 方法准备 SQL 语句并执行查询操作。 需要注意的是,在 PDO使用 `prepare()` 方法准备 SQL 语句可以有效地防止 SQL 注入攻击,同时也可以提高查询性能。在 `prepare()` 方法中可以使用占位符 `:name` 或 `?` 来代替实际的参数,然后使用 `bindValue()` 或 `bindParam()` 方法为占位符绑定实际的参数值。 除了查询数据,PDO 还提供了许多其他的数据库操作方法,如插入、更新、删除数据等,具体可以查看官方文档。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

谢高升

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值