PHP使用PDO实现mysql防注入功能详解
发布:smiling 来源: PHP粉丝网 添加日期:2022-02-01 20:00:08 浏览: 评论:0
这篇文章主要介绍了PHP使用PDO实现mysql防注入功能,结合实例形式详细分析了PHP使用pdo操作mysql防注入原理、实现方法及相关注意事项,需要的朋友可以参考下
本文实例讲述了PHP使用PDO实现mysql防注入功能,分享给大家供大家参考,具体如下:
1、什么是注入攻击
例如下例:
前端有个提交表格:
- <form action="test.php" method="post">
- 姓名:<input name="username" type="text">
- 密码:<input name="password" type="password">
- <input type="submit" value="登陆">
- </form>
后台的处理如下:
- <?php
- $username=$_POST["username"];
- $password=$_POST["password"];
- $age=$_POST["age"];
- //连接数据库,新建PDO对象
- $pdo=new PDO("mysql:host=localhost;dbname=phpdemo","root","1234");
- $sql="select * from login WHERE username='{$username}' AND password='{$password}' ";
- echo $sql;
- $stmt=$pdo->query($sql);
- //rowCount()方法返回结果条数或者受影响的行数
- if($stmt->rowCount()>0){ echo "登陆成功!"};
正常情况下,如果你输入姓名为小王,密码xiaowang,会登陆成功,sql语句如下:select * from login WHERE username='小王' AND password='xiaowang' 登陆成功!
但是如果你输入姓名为 ' or 1=1 #,密码随便输一个,也会登陆成功,sql语句为:select * from login WHERE username='' or 1=1 #' AND password='xiaowang' 登陆成功!
可以看到username='' or 1=1,#注释调了之后的password语句,由于 1=1恒成立,因此这条语句会返回大于1的结果集,从而使验证通过。
2、使用quote过滤特殊字符,防止注入
在sql语句前加上一行,将username变量中的‘等特殊字符过滤,可以起到防止注入的效果
- //通过quote方法,返回带引号的字符串,过滤调特殊字符
- $username=$pdo->quote($username);
- $sql="select * from login WHERE username={$username} AND password='{$password}' ";
- echo $sql;
- $stmt=$pdo->query($sql);
- //rowCount()方法返回结果条数或者受影响的行数
- if($stmt->rowCount()>0){
- echo "登陆成功!";
- };
sql语句为:select * from login WHERE username='\' or 1=1 #' AND password='xiaowang'
可以看到“'”被转义\',并且自动为变量$username加上了引号
3、通过预处理语句传递参数,防注入
- //通过占位符:username,:password传递值,防止注入
- $sql="select * from login WHERE username=:username AND password=:password";
- $stmt=$pdo->prepare($sql);
- //通过statement对象执行查询语句,并以数组的形式赋值给查询语句中的占位符
- $stmt->execute(array(':username'=>$username,':password'=>$password));
- echo $stmt->rowCount();
其中的占位符也可以为?
- //占位符为?
- $sql="select * from login WHERE username=? AND password=?";
- $stmt=$pdo->prepare($sql);
- //数组中参数的顺序与查询语句中问号的顺序必须相同
- $stmt->execute(array($username,$password));
- echo $stmt->rowCount();
4、通过bind绑定参数
bindParam()方法绑定一个变量到查询语句中的参数:
- $sql="insert login(username,password,upic,mail) values(:username,:password,:age,:mail)";
- $stmt=$pdo->prepare($sql);
- //第三个参数可以指定参数的类型PDO::PARAM_STR为字符串,PDO::PARAM_INT为整型数
- $stmt->bindParam(":username",$username,PDO::PARAM_STR);
- $stmt->bindParam(":password",$password,PDO::PARAM_STR);
- $stmt->bindParam(":age",$age,PDO::PARAM_INT);
- //使用bindValue()方法绑定一个定值
- $stmt->bindValue(":mail",'default@qq.com');
- $stmt->execute();
- echo $stmt->rowCount();
使用问号做占位符:
- $sql="insert login(username,password,mail) values(?,?,?)";//注意不是中文状态下的问号?
- $stmt=$pdo->prepare($sql); //按照?的顺序绑定参数值
- $stmt->bindParam(1,$username);
- $stmt->bindParam(2,$password);
- $stmt->bindValue(3,'default@qq.com');
- $stmt->execute();
- echo $stmt->rowCount();
使用其中bindValue()方法给第三个占位符绑定一个常量'default@qq.com',它不随变量的变化而变化。
bindColumn()方法绑定返回结果集的一列到变量:
- $sql='SELECT * FROM user';
- $stmt=$pdo->prepare($sql);
- $stmt->execute();
- $stmt->bindColumn(2,$username);
- $stmt->bindColumn(4,$email);
- while($stmt->fetch(PDO::FETCH_BOUND)){
- echo '用户名:'.$username.",邮箱:".$email.'<hr/>';
- }
Tags: PDO mysql防注入
- 上一篇:PHP学习记录之常用的魔术常量详解
- 下一篇:最后一页
相关文章
- ·PDO版本问题 Invalid parameter number: no parameters were bound(2013-12-03)
- ·pdo连接数据类与中文乱码解决方法(2014-09-11)
- ·pdo连接数据库与查询与保存数据到mysql(2014-09-11)
- ·pdo连接access数据库代码(2014-09-11)
- ·php实现基于PDO的预处理示例(2018-08-31)
- ·Linux(CentOS)下PHP扩展PDO编译安装的方法(2019-10-04)
- ·PHP中PDO的事务处理分析(2019-10-04)
- ·PHP的PDO操作简单示例(2019-10-31)
- ·PHP5.2中PDO的简单使用方法(2019-11-06)
- ·如何获取PDO对象并设置属性?(代码详解)(2020-02-03)
- ·如何使用PDO进行SELECT查询?(代码示例)(2020-02-03)
- ·PHP PDOStatement:bindParam插入数据错误问题分析(2020-07-02)
- ·PDO预处理语句PDOStatement对象使用总结(2021-04-27)
- ·PHP PDOStatement对象bindpram()、bindvalue()和bindcolumn之间的区别(2021-04-27)
- ·php使用pdo连接并查询sql数据库的方法(2021-05-04)
- ·php使用pdo连接mssql server数据库实例(2021-05-04)
推荐文章
热门文章
最新评论文章
- 写给考虑创业的年轻程序员(10)
- PHP新手上路(一)(7)
- 惹恼程序员的十件事(5)
- PHP邮件发送例子,已测试成功(5)
- 致初学者:PHP比ASP优秀的七个理由(4)
- PHP会被淘汰吗?(4)
- PHP新手上路(四)(4)
- 如何去学习PHP?(2)
- 简单入门级php分页代码(2)
- php中邮箱email 电话等格式的验证(2)