【php】PDO数据库防sql注入

最新推荐文章于 2024-04-15 17:35:01 发布
最新推荐文章于 2024-04-15 17:35:01 发布
阅读量781 收藏
点赞数 1
分类专栏: 笔记 php code mysql 文章标签: 数据库 php sql注入 pdo mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xn_28/article/details/79390244
版权
笔记 同时被 3 个专栏收录
66 篇文章 0 订阅
订阅专栏
code
22 篇文章 0 订阅
订阅专栏
mysql
7 篇文章 0 订阅
订阅专栏

安全的方式:

$pdo = new PDO('mysql:host=localhost;dbname=phptry','username','passwd');
$pdo->query("SET NAMES 'utf8'");//字符集设置
//$pdo->query("SET character_set_client=binary");?

//设置不在本地做sql语句预处理,php5.3.6之后默认
//$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

//修改默认的错误显示级别
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

//sql预处理和执行------------------------
$statement = $pdo->prepare("select * from user where username = ?");
$statement->bindValue(1,'admin',PDO::PARAM_STR);//bindvalue绑定":XXX"或者用替代第几个问号,bindparam只能绑定变量
$statement->execute();

//处理返回的结果集----------------------------
//取不到则返回false
$row = $statement->fetch(PDO::FETCH_ASSOC);
//取不到则返回空数组
//$row = $statement->fetchAll(PDO::FETCH_OBJ);

//debug模式下查看预处理语句参数,要在execute()方法后调用
//$statement->debugDumpParams(); 

//查看结果
echo htmlentities(count($row));  //count()/sizeof()
var_dump($row);  //输出参数类型和值

或者写成:


$pdo = new PDO('mysql:host=localhost;dbname=phptry;charset=utf8','username','passwd');

//修改默认的错误显示级别
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

//sql预处理和执行------------------------
$statement = $pdo->prepare("select * from user where username = ?");
$statement->bindValue(1,'admin',PDO::PARAM_STR);
$statement->execute(array("admin"));//传递数组参数

//省略----------------------------

bindValue和bindParam会对特殊符号进行转义。

$statement->debugDumpParams();结果显示:

SQL: [37] select * from user where username = ?
Params:  1
Key: Position #0:
paramno=0
name=[0] ""
is_param=1
param_type=2
Array

防sql注入原理:
在php5.3.6之后,pdo不会在本地对sql进行拼接然后将拼接后的sql传递给mysql server处理(也就是不会在本地做转义处理)。pdo的处理方法是在prepare函数调用时,将预处理好的sql模板(包含占位符)通过mysql协议传递给mysql server,告诉mysql server模板的结构以及语义。当调用execute时,将两个参数传递给mysql server。由mysql server完成变量的转移处理。将sql模板和变量分两次传递,即解决了sql注入问题。

sql注入测试:

$statement = $pdo->prepare("select * from user where username = ?");
$statement->execute(array("'' or 1 > 0"));
$row = $statement->fetchAll(PDO::FETCH_OBJ);
var_dump($row);

//输出array(0) { } ,成功

参考链接:

pdo调用方法以及防sql注入原理
PDO防注入原理分析以及使用PDO的注意事项

xn_28
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php debugdumpparams,PHP PDOStatement::debugDumpParams讲解
weixin_35767799的博客
04-02 74
PDOStatement::debugDumpParamsPDOStatement::debugDumpParams — 打印一条 SQL 预处理命令(PHP 5 >= 5.1.0, PECL pdo >= 0.9.0)说明语法bool PDOStatement::debugDumpParams ( void )直接打印出一条预处理语句包含的信息。提供正在使用的 SQL 查询、所用参数...
PDO场景下的SQL注入
qq_53142368的博客
06-07 613
0x01 PDOPDOPHP Data Objects)是PHP数据对象的2缩写,是一种在PHP里连接数据库的使用接口。PDO与mysqli曾经被建议用来取代原本PHP在用的mysql相关函数,基于数据库使用的安全性,因为后者欠缺对于SQL注入护。 0x01 PDO的特点 1,编码的一致性 由于PHP可用的各种数据库扩展是由不同发行者编写的,所以尽管所有的扩展都提供了基本相同的特性,却不满足编码的一致性。PDO消除了这种不一致,提供了可用于各种数据库的单一接口; 2.灵活性 因为PDO在运行时加载
PHP中的PDO扩展如何使用预处理语句来SQL注入攻击?有哪些安全实践建议?
最新发布
Marthaondon的博客
04-15 1179
然后,我们使用prepare()方法准备了一个预处理语句,该语句中的:name和:email是占位符,我们将在执行语句之前为它们绑定具体的值。更重要的是,PDO支持预处理语句,这是一种在执行时将数据与SQL语句分开的方法,从而有效地SQL注入攻击。预处理语句的工作原理是,先将SQL语句模板发送到数据库服务器进行预编译,然后在执行时再绑定具体的参数值。这样,即使参数值中包含可能破坏SQL语句结构的特殊字符(如单引号),也不会影响预编译的SQL语句模板,从而有效地止了SQL注入。// 准备预处理语句。
PHPsql注入处理(pdo
gaokcl的博客
06-24 421
sqlmap使用教程 https://www.freebuf.com/sectool/164608.html https://blog.csdn.net/guiziwen/article/details/78770285 /** * @1,sql注入漏洞: * 比如:在用户名输入框中输入:’ or 1=1#,密码随便输入,这时候的合成后的SQL查询语句为: * sele...
SQL 注入PHP PDO 准备语句教程
allway2的博客
08-21 541
PDO 的真正优势在于,您在它支持的无数数据库中都使用了几乎相似的 API,因此您无需为每个数据库学习新的 API。不幸的是,在关闭模拟模式的情况下,您不能多次使用相同的命名参数,因此对于本教程来说它是无用的。这是推荐的方法,您显然可以将您的字符集设置为您的应用程序需要的任何内容(尽管 utf8mb4 是相当标准的)。其中任何一种都可以完全接受,尽管 PDO 对大多数用户来说是更好的选择,因为它更简单、更通用,而 MySQLi 有时更适合高级用户,因为它有一些 MySQL 特定的功能。
为什么PDO预处理可以sql注入
这个人很懒,没有描述。
10-01 289
预处理是一种SQL 注入攻击的有效方法,因为它可以在将参数传递给 SQL 查询之前,将输入参数转义为安全格式。这是通过将 SQL 查询和输入参数分开处理实现的。攻击者可以通过将在这个例子中,?字符是占位符,代表输入参数。在执行查询之前,我们将用户名和密码绑定到查询上,而不是将它们作为字符串粘贴到查询中。这样,即使攻击者在输入中添加了恶意代码,它也不会影响查询的安全性。
360提供的phpsql注入代码修改类
05-02
总的来说,"360提供的phpsql注入代码修改类"是一个实用的工具,旨在帮助开发者提高PHP应用的安全性,减少SQL注入和HTTP跨站攻击的风险。通过理解并应用这个类,我们可以更好地保护我们的网站和用户数据。在实践中...
PHP使用PDO实现mysql注入功能详解
10-15
PDOPHP Data Objects)扩展提供了一种安全的方式来操作数据库,能够有效SQL注入。下面将详细讲解如何使用PDO实现MySQL注入功能。 1. **理解SQL注入攻击** SQL注入攻击是黑客通过输入恶意的SQL代码,利用...
phpSQL注入的一个类
05-04
在IT行业中,SQL注入是一种常见的安全威胁,攻击者通过输入恶意的SQL代码来获取、修改、删除数据库中的敏感数据。为了止这种情况发生,开发者通常会采用各种御措施,其中之一就是使用PHP类来过滤和验证输入数据...
PHP简单预sql注入的方法
10-21
SQL注入是一种常见的网络安全威胁,它发生在Web应用程序中,允许攻击者通过输入恶意的SQL代码来操纵或窃取数据库中的数据。PHP是Web开发中广泛使用的脚本语言,因此了解如何SQL注入对于保护PHP应用程序至关重要...
使用PDOsql注入的原理分析
09-09
标题中的“使用PDOSQL注入的原理分析”指的是在PHP编程中,使用PDOPHP Data Objects)扩展来SQL注入攻击的技术。SQL注入是一种常见的安全威胁,它允许攻击者通过输入恶意构造的SQL代码来操纵数据库PDO提供...
php sql注入
技术的搬运工
01-16 2256
在应用程序中,为了和用户交互,允许用户提交输入数据,假如应用程序并没有对用户输入数据进行处理,攻击者可以输入一些跟sql语句相关的字符串(一般带有特殊字符)从而让应用程序执行危险的 SQL 操作,导致泄漏机密数据(比如用户信息)或直接修改删除线上的数据。
pdo调用方法以及sql注入原理
热门推荐
dengjiexian123的专栏
12-24 1万+
前言 在web站点中,经常会遇到各种各样的网络攻击,其中sql注入是非常常见的一种,所以需要对sql注入进行护。 目前许多站点服务端基本采用php+mysql的方式。对应php连接mysq而言,l有三种方式:mysql扩展、mysqli、pdo。前两者不在此多说,网上有较多的学习资料。今天我们主要要讲解的是php如何通过pdo连接mysql数据库,以及为什么使用pdo连接mysql数据库具有
PDO场景下的SQL注入探究
weixin_50464560的博客
08-14 521
前言 PHP数据对象(PDO)扩展为PHP访问数据库定义了一个轻量级的一致接口。PDO提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以使用相同的函数(方法)来查询和获取数据。PDOPHP 5.1发行,在PHP 5.0的PECL扩展中也可以使用,无法运行于之前的PHP版本。今天我们讨论PDO多语句执行(堆叠查询)和PDO预处理下的SQL注入问题导致SQL注入的问题。如有不足,不吝赐教。 PDO多语句执行 PHP连接MySQL数据库有三种方式(MySQL、Mys...
php PDO链接数据库(SQL注入)
nocomment_84的博客
07-27 677
class mysql_pdo {     var $db_connect_id;     var $query_result;     var $row = array();     var $rowset = array();     var $num_queries = 0;     var $numRows =0;//插入,更新,删除后影响的行数     var $lastInsID =...
PHP使用PDO简单实现SQL注入的方法
NII的博客
09-11 1839
方法一:execute代入参数  <?php if(count($_POST)!= 0) { $host = 'aaa'; $database = 'bbb'; $username = 'ccc'; $password = '***'; $num = 0; $pdo = new PDO("mysql:host=$host;dbname=$database", $u...
pdo如何sql注入
weixin_34378969的博客
01-26 240
我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHPPDO扩展的 prepare 方法,就可以避免sql injection 风险。  使用PDO访问MySQL数据库时,真正的real ...
PHP+mysql开发如何应对SQL注入PDO::prepare()方法
牧锋
04-17 277
什么是SQL注入:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 简单来说就是恶意用户通过URL地址栏或者表单提交SQL执行语句,例如域名/****.php?id=ID;+SQL执行语句,当这些信息提交地址栏之后会传输到提交的表单执行SQL语句,当传输数据进入到数据库执行的时候会对原有的数据库表产生更改,这就是SQL注入的一个简单...
sql注入简单讲解 以及pdosql注入简单讲解
qq_42223375的博客
05-21 532
sql注入简单简单讲解    在这贴上一个详细讲解SQL注入的文章链接 ,https://blog.csdn.net/u011280083/article/details/79116615(一)了解注入原理    为什么会存在sql注入呢,只能说SQL出身不好。因为sql作为一种解释型语言,在运行时是由一个运行时组件解释语言代码并执行其中包含的指令的语言。基于这种执行方式,产生了一系列叫做代码注入...
360 phpsql注入代码
02-05
PHP是一种常用的服务器端脚本语言,用于开发Web应用程序。为了SQL注入攻击,我们可以采取以下措施来...总结来说,为了SQL注入攻击,在开发PHP代码时应该始终保持警惕,并使用以上措施来保护数据库的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值