当前位置:首页 > PHP教程 > php高级应用 > 列表

PHP防止SQL注入的例子

发布:smiling 来源: PHP粉丝网  添加日期:2018-10-16 10:36:07 浏览: 评论:0 

使用prepared以及参数绑定查询可根本性防止sql注入的发生:SQL语句与参数分批传输到sql服务器的方式让利用字符串拼接的SQL注入没有了施展空间。

基本上你有两种方式完成上述方法:

使用PDO:

  1. $stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name'); 
  2. $stmt->execute(array('name' => $name)); 
  3. foreach ($stmt as $row) { 
  4.     // do something with $row 

2.使用MySQLi

  1. $stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?'); 
  2. $stmt->bind_param('s'$name); 
  3.  
  4. $stmt->execute(); 
  5. //phpfensi.com 
  6. $result = $stmt->get_result(); 
  7. while ($row = $result->fetch_assoc()) { 
  8.     // do something with $row 

正确的配置数据库连接

注意当你用PDO方式访问MySQLs时,使用真正的prepared 语句方式并不是默认设置。所以你必须禁止模拟prepared模式:

  1. $dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8''user''pass'); 
  2.  
  3. $dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); 
  4. $dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); 

以上语句中对错误模式的设置并不是必须的,但我强烈推荐加上它。这样脚本就不会因为数据库的”Fatal Error”而停止,而是抛出一个PDOExceptions,从而让你能够抓取到这个异常。

Tags: PHP注入 SQL注入

分享到: