php安全,防止sql注入攻击简单方法
发布:smiling 来源: PHP粉丝网 添加日期:2014-08-23 13:58:14 浏览: 评论:0
方法一:密码比对
思路:首先通过用户输入的用户名去查询数据库,得到该用户名在数据库中对应的密码,再将从数据库中查询到的密码和用户提交过来的密码进行比对.
php实例代码如下:
- $sql="select password from users where username='$name'";
- $res=mysql_query($sql,$conn);
- if ($arr=mysql_fetch_assoc($res)){//如果用户名存在
- if ($arr['password']==$pwd) {//密码比对
- echo "登录成功";
- }else{
- echo "密码输入有误";
- }
- }else {
- echo "该用户名不存在";
- }
分析:该情况下,代码健壮了不少,即使在magic_quote_gpc=Off的情况下,也能防止SQL注入攻击,因为攻击者想成功登录的话,得绕过两道坎,第一是输入的用户名要存在,这一步可以构造一个SQL语句(‘ or 1=1%23)直接绕过,但是这样子无法通过第二道坎,因为需要用户输入一个正确的密码才能通过,显然,这已经拒绝了SQL注入攻击.
方法二:使用PDO的PDO::prepare()预处理操作来防止SQL注入攻击.
思路:创建一个pdo对象,利用pdo的预处理操作可以防止SQL注入攻击.
php实例代码如下:
- $name=$_GET['username'];
- $pwd=$_GET['password'];
- $sql="select * from users where username=? and password=?";
- //1.创建一个pdo对象
- $pdo=new PDO("mysql:host=localhost;port=3306;dbname=injection","root","");
- //2.设置编码
- $pdo->exec("set names 'utf8'");
- //3.预处理$sql语句
- $pdoStatement=$pdo->prepare($sql);
- //4.把接收到的用户名和密码填入
- $pdoStatement->execute(array($name,$pwd));
- //5.取出结果
- $res=$pdoStatement->fetch();
- if(emptyempty($res)){
- //开源代码phpfensi.com
- echo "用户名或密码输入有误";
- }else{
- echo "登录成功";
- }
Tags: php安全 防止sql注入
相关文章
- ·在PHP中全面阻止SQL注入式攻击(2013-11-13)
- ·php中open_basedir存在安全隐患(2014-08-22)
- ·php中一些安全性防止问题建议(2014-08-23)
- ·php 一些基本安全处理技巧(2014-08-23)
- ·php安全配置详细说明(2014-08-25)
- ·PHP代码安全性问题的建议(2014-08-25)
- ·php安全过滤与实例教程(2014-08-25)
- ·高手整理的PHP+MySQL安全方案(2015-04-09)
- ·PHP安全的URL字符串base64编码和解码(2021-02-22)
- ·浅谈php安全性需要注意的几点事项(2021-03-21)
- ·php解决安全问题的方法实例(2021-12-19)
- ·PHP登录中的防止sql注入方法分析(2014-08-21)
- ·php mysql防止sql注入详细说明(2014-08-25)
- ·最实用有效的PHP中防止SQL注入(2015-04-04)
- ·PHP登录环节防止sql注入的方法浅析(2021-03-04)
- ·PHP中怎样防止SQL注入分析(2021-04-17)
推荐文章
热门文章
最新评论文章
- 写给考虑创业的年轻程序员(10)
- PHP新手上路(一)(7)
- 惹恼程序员的十件事(5)
- PHP邮件发送例子,已测试成功(5)
- 致初学者:PHP比ASP优秀的七个理由(4)
- PHP会被淘汰吗?(4)
- PHP新手上路(四)(4)
- 如何去学习PHP?(2)
- 简单入门级php分页代码(2)
- php中邮箱email 电话等格式的验证(2)