pdo通过预处理语句防止sql注入

最新推荐文章于 2024-06-20 20:49:37 发布
最新推荐文章于 2024-06-20 20:49:37 发布
阅读量4.5k 收藏 5
点赞数 1
分类专栏: php pdo 文章标签: php pdo预处理语句防sql注入 php pdo连接数据库 sql注入 php pdo预处理语句 pdo预处理语句占位符的使用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zdy121314/article/details/53341410
版权

本文会通过一个简单的登录验证来演示通过预处理语句防注入。


数据库:test;

创建表:

CREATE TABLE USER(
id INT UNSIGNED AUTO_INCREMENT KEY,
username VARCHAR(20) NOT NULL,
password CHAR(32) NOT NULL,
email CHAR(32) NOT NULL
);


向表中插入一条数据:

INSERT INTO user(username,password,email) VALUES('baby','baby','444@qq.com');



登入界面:

<!DOCTYPE html>
<html lang="en">
<head>
	<meta charset="UTF-8">
	<title>login</title>
</head>
<body>
	<form action="check.php" method="post" accept-charset="utf-8">
		用户名 <input type="text" name="username"><br>
		密 码 <input type="password" name="psw"><br>
		<input type="submit"value="提交">
	</form>
</body>
</html>



1.首先先正常编写check.php页面,不做任何处理。

<?php
header('content-type:text/html;charset=utf-8');
$username=$_POST['username'];
$psw=$_POST['psw'];
try {
$pdo=new PDO('mysql:host=localhost;dbname=test','root','root');
$sql="select * from user where username='{$username}' and password='{$psw}'";
$stmt=$pdo->query($sql);
//返回结果集中的行数
echo $stmt->rowCount();
} catch (Exception $e) {
echo $e->getMessage();
}
?>

输入正确的用户名:baby  密码:baby      结果:1   (因为查询到一条记录  通过echo  rowCount()输出)

输入错误的用户名或密码               结果:0

输入注入语句 用户名:'or 1=1 #  密码:随便写  结果:1


2.更换为预处理语句(占位符)

<?php
header('content-type:text/html;charset=utf-8');
$username=$_POST['username'];
$psw=$_POST['psw'];
	try {
		$pdo=new PDO('mysql:host=localhost;dbname=test','root','root');
		$sql="select * from user where username=:username and password=:psw";
		$stmt=$pdo->prepare($sql);
		$stmt->execute(array(":username"=>$username,":psw"=>$psw));
		echo $stmt->rowCount();
	} catch (Exception $e) {
		echo $e->getMessage();
	}
?>

<?php
header('content-type:text/html;charset=utf-8');
$username=$_POST['username'];
$psw=$_POST['psw'];
	try {
		$pdo=new PDO('mysql:host=localhost;dbname=test','root','root');
		$sql="select * from user where username=? and password=?";
		$stmt=$pdo->prepare($sql);
		$stmt->execute(array($username,$psw));
		echo $stmt->rowCount();
	} catch (Exception $e) {
		echo $e->getMessage();
	}
?>

输入注入语句 用户名:'or 1=1 #  密码:随便写      结果:0   说明已经无法注入。





若有不对,望指正。



云影杳杳
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
php_pdo 预处理语句详解
01-21
通过使用预处理语句,可以避免重复分析/编译/优化周期。简言之,预处理语句占用更少的资源,因 而运行得更快。 2、提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,...
PDO预处理prepare
weixin_43786904的博客
01-14 818
描述: 预处理语句prepare是pdo提供的一种db操作方式。其语言逻辑与正常的pdo访问相同。但区别于在prepare语句允许用户在【设置sql语句】与【执行sql语句】之间部分进行参数的注入与提取操作,而不是像正常的pdo访问一样直接将参数写死。 (1)prepare()方法和execute()方法 (2)bindValue()方法 (3)bindColumn()方法 正常pdo直接访问:设...
pdo预处理怎么支持MySQL函数_哪些方法用于实现pdo预处理语句?
weixin_39804335的博客
02-01 102
我把问题和赞同最多的答题翻译了下来。提问:如果用户的输入能直接插入到SQL语句中,那么这个应用就易收到SQL注入的攻击,举个例子:$unsafe_variable = $_POST['user_input']; mysqli_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");用户可以输入诸如 : valu...
PDO预编译与sql注入
最新发布
qq_64395221的博客
06-20 955
刚学web安全的时候学到sql注入御,那些文章基本上都会说利用pdo预编译就可以近乎完美sql注入,或者看到一些渗透经验贴,遇到sql经过预编译的网站师傅们总是会建议赶紧换个站,那么预编译究竟能不能完美sql注入,或者说预编译下的sql注入有什么奇技淫巧吗?首先是第一个问题,为什么预编译或者说参数化查询可以防止sql注入呢?我之前看过的一个面经上是这么写的:使用参数化查询数据库服务器不会把参数的内容当作 sql 指令的一部分来执行,是在数据库完成 sql 指令的编译后才套用参数运行。
简单的PDO技术以及预处理方法预SQL注入
qq_43592364的博客
09-22 1273
SQL注入是十大漏洞之一,危害程度高,可能会导致数据库中的信息泄露,用户得到管理员权限等安全隐患 产生SQL注入点的原因有多种多样,但归根结底是采用了动态拼接SQL语句的方法并且没有做好相应的过滤用户数据的措施,例如 <?php $name = $_POST['userName']; $password = $_POST['userPassword']; if...
如何在PHP使用PDO预处理语句
周祥平程序专栏
12-16 2824
请注意,上述代码是一个简单的示例。在实际应用中,您需要根据需要执行不同的SQL语句,绑定不同的参数,并处理执行结果。此外,为了安全性,尽量避免将用户提供的数据直接嵌入SQL语句中,而是使用预处理语句来处理用户输入,以防止SQL注入攻击。在PHP使用PDOPHP Data Objects)来执行预处理语句是一种安全的方式来与数据库进行交互,以防止SQL注入攻击。
PDO预处理
qq_25285531的博客
05-06 379
PDO中的基本的原理和步骤和MySQL中的预处理都是一样的,只不过就是把MySQL中的预处理所有命令行的语法封装成了PDO对象的几个公开的方法而已! 1.发送预处理语句 此时,我们需要调用pdo对象的prepare方法,得到一个PDOStatement结果对象! 2.绑定参数 调用PDOStatement对象中的bindParam方法: 3.执行预处理语句 调用PDOStatement对象中的e...
使用PDOsql注入的原理分析
09-09
PDO提供了一种安全的方式来执行SQL查询,通过预处理语句和绑定参数,有效地防止SQL注入。 描述中提到,PDO预处理语句防止SQL注入的关键。预处理语句在执行之前会被解析和编译,参数则在执行时动态插入,这...
PHP防止sql注入小技巧之sql预处理原理与实现方法分析
10-15
本文将深入探讨PHP防止SQL注入的小技巧,特别是通过SQL预处理的原理和实现方法。 SQL预处理是一种在执行SQL语句前先编译其结构的方法,将查询的逻辑结构与动态参数分开。这样,参数的值在单独的步骤中传递,从而...
php防止sql注入的方法详解
10-20
使用预处理语句防止SQL注入的最有效方法之一。预处理语句将SQL结构与数据分开处理,确保数据不会干扰SQL语句的结构。在PHP中,可以使用PDOPHP Data Objects)或MySQLi的预处理功能来实现。例如: ```php $...
PHPPDO预处理
weixin_43731793的博客
09-17 355
** ** ** ** ** ** ** ** ** ** **
08-PDO预处理操作
我们的目标是星辰大海!
12-17 471
08-PDO预处理操作
php mysql预处理_PHP PDO数据库操作预处理与注意事项
weixin_35836405的博客
01-19 182
PDO(PHP Database Object)扩展为PHP访问数据库定义了一个轻量级的、一致性的接口,它提供了一个数据访问抽象层,这样,无论使用什么数据库,都可以通过一致的函数执行查询和获取数据。在数据库操作方面更加安全更加高效!PDOPHP访问各类数据库定义了一个轻量级一致性的接口,无论什么数据库,都可以通过一致的方法执行查询和获取数据,而不用考虑不同数据库之间的差异,大大简化了数据库操作。...
PHP笔记之PDO
→_→
09-28 768
主要内容: PDO概述 1、PDO简介 PDOPHP数据对象(PHP Data Object)的缩写。 PDO扩展为PHP访问不同数据库定义了一个轻量级的、一致性的接口; PDO作用是统一各种数据库的访问接口,PDO让跨数据库的使用更具亲和力; 有了PDO,您不必再使用mysqli_*函数、oci_*函数或者mssql_*函数,也不必再为它们封装数据库操作类,只需要使用PDO接口中的方法就可以对各种数据库进行操作。 PDO是一个第三方的类,默认已经集成到PHP中了。 2、PDO...
mysql pdo 预处理_PHP PDO预处理语句详解
weixin_42526484的博客
01-27 367
在生成网页时,许多 PHP 脚本通常都会执行除参数以外,其他部分完全相同的查询语句,针对这种重复执行一个查询,每次迭代使用不同的参数情况,PDO 提供了一种名为预处理语句(prepared statement)的机制,如下图所示。图:预处理语句的机制使用预处理机制可以将整个 SQL 命令向数据库服务器发送一次,以后当参数发生变化时,数据库服务器只需对命令的结构做一次分析就够了,即编译一次,可以多次...
PDO预处理
烈火熊熊在我心
08-06 1776
这篇来说一下PDO预处理。原理本质上就是编译一次,多次执行。PDO预处理语句(prepared statement)机制,是将一条SQL命令向数据库服务器发送一次(此时发送的参数不是实参,是占位符),以后参数发生变化,数据库服务器只需对命令的结构做一次分析就够了。$stmt = $conn->prepare("insert into categorylink (did,cid) values (:d
php mysql注入_php连接mysql的三种方式和预处理下的sql注入
weixin_30713705的博客
01-18 334
0x00 前言学习了一下堆叠注入和这三种连接方式预处理下的SQL注入问题。0x01 基础知识参考:https://www.cnblogs.com/joshua317/articles/5989781.htmlhttps://www.cnblogs.com/geaozhang/p/9891338.html1、即时 SQL一条 SQL 在 DB 接收到最终执行完毕返回,大致的过程如下:1. 词法和语义...
mysql 存储过程 预处理语句_PHPPDO预处理语句与存储过程
weixin_35662171的博客
02-01 111
PHP PDO 预处理语句与存储过程很多更成熟的数据库都支持预处理语句的概念。什么是预处理语句?可以把它看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。预处理语句可以带来两大好处:查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的...
PDO预处理防止SQL注入
06-02
是的,PDO预处理可以有效地防止SQL注入预处理是一种在执行SQL语句之前先将SQL语句和参数分离的机制...因此,PDO预处理是一种能够有效防止SQL注入攻击的方法,建议在使用PDO连接数据库时,优先选择使用PDO预处理语句
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值