PHP简单实现防止SQL注入的方法
发布:smiling 来源: PHP粉丝网 添加日期:2021-09-04 23:39:54 浏览: 评论:0
这篇文章主要介绍了PHP简单实现防止SQL注入的方法,结合实例形式分析了php防止SQL注入的常用操作技巧与注意事项,代码备有详尽注释便于理解,需要的朋友可以参考下。
本文实例讲述了PHP简单实现防止SQL注入的方法,分享给大家供大家参考,具体如下:
方法一:execute代入参数
- <?php
- if(count($_POST)!= 0) {
- $host = 'aaa';
- $database = 'bbb';
- $username = 'ccc';
- $password = '***';
- $num = 0;
- $pdo = new PDO("mysql:host=$host;dbname=$database", $username, $password);//创建一个pdo对象
- foreach ($_POST as $var_Key => $var_Value) {
- //获取POST数组最大值
- $num = $num + 1;
- }
- //下标为i的数组存储的是商品id, 下标为j数组的存储的是此商品的库存
- for($i=0;$i<$num;$i=$i+2)
- {
- //库存下标
- $j = $i+1;
- //判断传递过来的数据合法性
- if(is_numeric(trim($_POST[$i])) && is_numeric(trim($_POST[$j]))){
- //禁用prepared statements的仿真效果
- $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
- //查询数据库中是否存在该ID的商品
- //当调用 prepare() 时,查询语句已经发送给了数据库服务器,此时只有占位符 ? 发送过去,没有用户提交的数据
- $stmt = $pdo->prepare("select good_id from delphi_test_content WHERE good_id = ?");
- //当调用到 execute()时,用户提交过来的值才会传送给数据库,他们是分开传送的,两者独立的,SQL攻击者没有一点机会。
- $stmt->execute(array($_POST[$i]));
- //返回查询结果
- $count = $stmt->rowCount();
- //如果本地数据库存在该商品ID和库存记录,就更新该商品的库存
- if($count != 0)
- {
- $stmt = $pdo->prepare("update delphi_test_content set content = ? WHERE good_id = ?");
- $stmt->execute(array($_POST[$j], $_POST[$i]));
- }
- //如果本地数据库没有该商品ID和库存记录,就新增该条记录
- if($count == 0)
- {
- $stmt = $pdo->prepare("insert into delphi_test_content (good_id,content) values (?,?)");
- $stmt->execute(array($_POST[$i], $_POST[$j]));
- }
- }
- }
- $pdo = null;
- //关闭连接
- }
- ?>
方法二:bindParam绑定参数
- <?php
- if(count($_POST)!= 0) {
- $host = 'aaa';
- $database = 'bbb';
- $username = 'ccc';
- $password = '***';
- $num = 0;
- $pdo = new PDO("mysql:host=$host;dbname=$database", $username, $password);//创建一个pdo对象
- foreach ($_POST as $var_Key => $var_Value) {
- //获取POST数组最大值
- $num = $num + 1;
- }
- //下标为i的数组存储的是商品id, 下标为j数组的存储的是此商品的库存
- for($i=0;$i<$num;$i=$i+2)
- {
- //库存下标
- $j = $i+1;
- //判断传递过来的数据合法性(此数据为商品编号以及库存,严格来说字符串全是由数字组成的)
- if(is_numeric(trim($_POST[$i])) && is_numeric(trim($_POST[$j]))){
- //查询数据库中是否存在该ID的商品
- $stmt = $pdo->prepare("select good_id from delphi_test_content WHERE good_id = ?");
- $stmt->execute(array($_POST[$i]));
- $stmt->bindParam(1,$_POST[$i]);
- $stmt->execute();
- //返回查询结果
- $count = $stmt->rowCount();
- //如果本地数据库存在该商品ID和库存记录,就更新该商品的库存
- if($count != 0)
- {
- $stmt = $pdo->prepare("update delphi_test_content set content = ? WHERE good_id = ?");
- $stmt->execute(array($_POST[$j], $_POST[$i]));
- $stmt->bindParam(1,$_POST[$j]);
- $stmt->bindParam(2,$_POST[$i]);
- $stmt->execute();
- }
- //如果本地数据库没有该商品ID和库存记录,就新增该条记录
- if($count == 0)
- {
- $stmt = $pdo->prepare("insert into delphi_test_content (good_id,content) values (?,?)");
- $stmt->bindParam(1,$_POST[$i]);
- $stmt->bindParam(2,$_POST[$j]);
- $stmt->execute();
- }
- }
- }
- $pdo = null;
- //关闭连接
- }
Tags: PHP防止SQL注入
相关文章
- ·PHP登录中的防止sql注入方法分析(2014-08-21)
- ·PHP中怎样防止SQL注入分析(2021-04-17)
- ·php防止sql注入之过滤分页参数实例(2021-04-21)
- ·php防止sql注入简单分析(2021-05-16)
推荐文章
热门文章
最新评论文章
- 写给考虑创业的年轻程序员(10)
- PHP新手上路(一)(7)
- 惹恼程序员的十件事(5)
- PHP邮件发送例子,已测试成功(5)
- 致初学者:PHP比ASP优秀的七个理由(4)
- PHP会被淘汰吗?(4)
- PHP新手上路(四)(4)
- 如何去学习PHP?(2)
- 简单入门级php分页代码(2)
- php中邮箱email 电话等格式的验证(2)