主頁 > 知識(shí)庫 > PHP使用PDO實(shí)現(xiàn)mysql防注入功能詳解

PHP使用PDO實(shí)現(xiàn)mysql防注入功能詳解

熱門標(biāo)簽:青島語音外呼系統(tǒng)招商 山西回?fù)芡夂粝到y(tǒng) 岳陽外呼型呼叫中心系統(tǒng)在哪里 山西探意電話機(jī)器人 百應(yīng)電話機(jī)器人服務(wù) 揚(yáng)州地圖標(biāo)注app 昭通辦理400電話 河南電銷卡外呼系統(tǒng)哪家強(qiáng) 騰訊外呼管理系統(tǒng)

本文實(shí)例講述了PHP使用PDO實(shí)現(xiàn)mysql防注入功能。分享給大家供大家參考,具體如下:

1、什么是注入攻擊

例如下例:

前端有個(gè)提交表格:

  form action="test.php" method="post">
    姓名:input name="username" type="text">
    密碼:input name="password" type="password">
    input type="submit" value="登陸">
  /form>

后臺(tái)的處理如下:

?php
  $username=$_POST["username"];
  $password=$_POST["password"];
  $age=$_POST["age"];
  //連接數(shù)據(jù)庫,新建PDO對(duì)象
  $pdo=new PDO("mysql:host=localhost;dbname=phpdemo","root","1234");
  
  $sql="select * from login WHERE username='{$username}' AND password='{$password}' ";
  echo $sql;
  $stmt=$pdo->query($sql);
  //rowCount()方法返回結(jié)果條數(shù)或者受影響的行數(shù)
  if($stmt->rowCount()>0){ echo "登陸成功!"};

正常情況下,如果你輸入姓名為小王,密碼xiaowang,會(huì)登陸成功,sql語句如下:select * from login WHERE username='小王' AND password='xiaowang' 登陸成功!

但是如果你輸入姓名為 ' or 1=1 #,密碼隨便輸一個(gè),也會(huì)登陸成功,sql語句為:select * from login WHERE username='' or 1=1 #' AND password='xiaowang' 登陸成功!

可以看到username='' or 1=1,#注釋調(diào)了之后的password語句,由于 1=1恒成立,因此這條語句會(huì)返回大于1的結(jié)果集,從而使驗(yàn)證通過。

2、使用quote過濾特殊字符,防止注入

在sql語句前加上一行,將username變量中的‘等特殊字符過濾,可以起到防止注入的效果

//通過quote方法,返回帶引號(hào)的字符串,過濾調(diào)特殊字符
$username=$pdo->quote($username);
$sql="select * from login WHERE username={$username} AND password='{$password}' ";
echo $sql;
$stmt=$pdo->query($sql);
//rowCount()方法返回結(jié)果條數(shù)或者受影響的行數(shù)
if($stmt->rowCount()>0){
  echo "登陸成功!";
};

sql語句為:select * from login WHERE username='\' or 1=1 #' AND password='xiaowang'

可以看到“'”被轉(zhuǎn)義',并且自動(dòng)為變量$username加上了引號(hào)

3、通過預(yù)處理語句傳遞參數(shù),防注入

//通過占位符:username,:password傳遞值,防止注入
$sql="select * from login WHERE username=:username AND password=:password";
$stmt=$pdo->prepare($sql);
//通過statement對(duì)象執(zhí)行查詢語句,并以數(shù)組的形式賦值給查詢語句中的占位符
$stmt->execute(array(':username'=>$username,':password'=>$password));
echo $stmt->rowCount();

其中的占位符也可以為?

//占位符為?
$sql="select * from login WHERE username=? AND password=?";
$stmt=$pdo->prepare($sql);
//數(shù)組中參數(shù)的順序與查詢語句中問號(hào)的順序必須相同
$stmt->execute(array($username,$password));
echo $stmt->rowCount();

4、通過bind綁定參數(shù)

bindParam()方法綁定一個(gè)變量到查詢語句中的參數(shù):  

$sql="insert login(username,password,upic,mail) values(:username,:password,:age,:mail)";
$stmt=$pdo->prepare($sql);
//第三個(gè)參數(shù)可以指定參數(shù)的類型PDO::PARAM_STR為字符串,PDO::PARAM_INT為整型數(shù)
$stmt->bindParam(":username",$username,PDO::PARAM_STR);
$stmt->bindParam(":password",$password,PDO::PARAM_STR);
$stmt->bindParam(":age",$age,PDO::PARAM_INT);
//使用bindValue()方法綁定一個(gè)定值
$stmt->bindValue(":mail",'default@qq.com');
$stmt->execute();
echo $stmt->rowCount();


使用問號(hào)做占位符:

$sql="insert login(username,password,mail) values(?,?,?)";//注意不是中文狀態(tài)下的問號(hào)? 
$stmt=$pdo->prepare($sql); //按照?的順序綁定參數(shù)值 
$stmt->bindParam(1,$username); 
$stmt->bindParam(2,$password); 
$stmt->bindValue(3,'default@qq.com'); 
$stmt->execute(); 
echo $stmt->rowCount();

使用其中bindValue()方法給第三個(gè)占位符綁定一個(gè)常量'default@qq.com',它不隨變量的變化而變化。

bindColumn()方法綁定返回結(jié)果集的一列到變量:   

$sql='SELECT * FROM user';
$stmt=$pdo->prepare($sql);
$stmt->execute();
$stmt->bindColumn(2,$username);
$stmt->bindColumn(4,$email);
while($stmt->fetch(PDO::FETCH_BOUND)){
  echo '用戶名:'.$username.",郵箱:".$email.'hr/>';
}

更多關(guān)于PHP相關(guān)內(nèi)容感興趣的讀者可查看本站專題:《PHP基于pdo操作數(shù)據(jù)庫技巧總結(jié)》、《php+mysqli數(shù)據(jù)庫程序設(shè)計(jì)技巧總結(jié)》、《php面向?qū)ο蟪绦蛟O(shè)計(jì)入門教程》、《php字符串(string)用法總結(jié)》、《php+mysql數(shù)據(jù)庫操作入門教程》及《php常見數(shù)據(jù)庫操作技巧匯總》

希望本文所述對(duì)大家PHP程序設(shè)計(jì)有所幫助。

您可能感興趣的文章:
  • PHP PDO預(yù)處理語句及事務(wù)的使用
  • PHP如何初始化PDO及原始SQL語句操作
  • PHP中PDO關(guān)閉連接的方法問題
  • PHP使用PDO 連接與連接管理操作實(shí)例分析
  • php+pdo實(shí)現(xiàn)的購物車類完整示例
  • PHP PDO和消息隊(duì)列的個(gè)人理解與應(yīng)用實(shí)例分析
  • php pdo連接數(shù)據(jù)庫操作示例
  • PHP連接MySQL數(shù)據(jù)庫的三種方式實(shí)例分析【mysql、mysqli、pdo】
  • PHP使用PDO創(chuàng)建MySQL數(shù)據(jù)庫、表及插入多條數(shù)據(jù)操作示例
  • php如何用PDO操作大數(shù)據(jù)對(duì)象

標(biāo)簽:黃南 鎮(zhèn)江 湛江 婁底 銅川 寶雞 南陽 宜賓

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《PHP使用PDO實(shí)現(xiàn)mysql防注入功能詳解》,本文關(guān)鍵詞  PHP,使用,PDO,實(shí)現(xiàn),mysql,防,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們,我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《PHP使用PDO實(shí)現(xiàn)mysql防注入功能詳解》相關(guān)的同類信息!
  • 本頁收集關(guān)于PHP使用PDO實(shí)現(xiàn)mysql防注入功能詳解的相關(guān)信息資訊供網(wǎng)民參考!
  • 推薦文章