加入收藏 | 设为首页 | 会员中心 | 我要投稿 开发网_郴州站长网 (http://www.0735zz.com/)- 云通信、区块链、物联设备、云计算、站长网!
当前位置: 首页 > 站长学院 > PHP教程 > 正文

pdo完成mysql防注入的操作是什么?

发布时间:2021-12-31 20:24:12 所属栏目:PHP教程 来源:互联网
导读:PDO如何实现mysql防注入?很多新手可能对于mysql注入攻击是什么?如何防注入不是很清楚,因此这篇文章就给大家介绍一下什么是注入攻击和PHP使用PDO实现mysql防注入的方法。 1、什么是注入攻击 例如下例: 前端有个提交表格: form action=test.php method=
     PDO如何实现mysql防注入?很多新手可能对于mysql注入攻击是什么?如何防注入不是很清楚,因此这篇文章就给大家介绍一下什么是注入攻击和PHP使用PDO实现mysql防注入的方法。
 
        1、什么是注入攻击
 
        例如下例:
 
        前端有个提交表格:
 
  <form action="test.php" method="post">
    姓名:<input name="username" type="text">
    密码:<input name="password" type="password">
    <input type="submit" value="登陆">
  </form>
 
        后台的处理如下:
 
<?php
  $username=$_POST["username"];
  $password=$_POST["password"];
  $age=$_POST["age"];
  //连接数据库,新建PDO对象
  $pdo=new PDO("mysql:host=localhost;dbname=phpdemo","root","1234");
  
  $sql="select * from login WHERE username='{$username}' AND password='{$password}' ";
  echo $sql;
  $stmt=$pdo->query($sql);
  //rowCount()方法返回结果条数或者受影响的行数
  if($stmt->rowCount()>0){ echo "登陆成功!"};
 
        正常情况下,如果你输入姓名为小王,密码xiaowang,会登陆成功,sql语句如下:select * from login WHERE username='小王' AND password='xiaowang' 登陆成功!
 
        但是如果你输入姓名为 ' or 1=1 #,密码随便输一个,也会登陆成功,sql语句为:select * from login WHERE username='' or 1=1 #' AND password='xiaowang' 登陆成功!
 
        可以看到username='' or 1=1,#注释调了之后的password语句,由于 1=1恒成立,因此这条语句会返回大于1的结果集,从而使验证通过。
 
        2、使用quote过滤特殊字符,防止注入
 
        在sql语句前加上一行,将username变量中的‘等特殊字符过滤,可以起到防止注入的效果
 
//通过quote方法,返回带引号的字符串,过滤调特殊字符
$username=$pdo->quote($username);
$sql="select * from login WHERE username={$username} AND password='{$password}' ";
echo $sql;
$stmt=$pdo->query($sql);
//rowCount()方法返回结果条数或者受影响的行数
if($stmt->rowCount()>0){
  echo "登陆成功!";
};
 
        sql语句为:select * from login WHERE username='' or 1=1 #' AND password='xiaowang'
 
        可以看到“'”被转义',并且自动为变量$username加上了引号
 
        3、通过预处理语句传递参数,防注入
 
//通过占位符:username,:password传递值,防止注入
$sql="select * from login WHERE username=:username AND password=:password";
$stmt=$pdo->prepare($sql);
//通过statement对象执行查询语句,并以数组的形式赋值给查询语句中的占位符
$stmt->execute(array(':username'=>$username,':password'=>$password));
echo $stmt->rowCount();
 
        其中的占位符也可以为?
 
//占位符为?
$sql="select * from login WHERE username=? AND password=?";
$stmt=$pdo->prepare($sql);
//数组中参数的顺序与查询语句中问号的顺序必须相同
$stmt->execute(array($username,$password));
echo $stmt->rowCount();
        4、通过bind绑定参数
 
        bindParam()方法绑定一个变量到查询语句中的参数:  
 
$sql="insert login(username,password,upic,mail) values(:username,:password,:age,:mail)";
$stmt=$pdo->prepare($sql);
//第三个参数可以指定参数的类型PDO::PARAM_STR为字符串,PDO::PARAM_INT为整型数
$stmt->bindParam(":username",$username,PDO::PARAM_STR);
$stmt->bindParam(":password",$password,PDO::PARAM_STR);
$stmt->bindParam(":age",$age,PDO::PARAM_INT);
//使用bindValue()方法绑定一个定值
$stmt->bindValue(":mail",'default@qq.com');
$stmt->execute();
echo $stmt->rowCount();
 
 
        使用问号做占位符:
 
$sql="insert login(username,password,mail) values(?,?,?)";//注意不是中文状态下的问号?
$stmt=$pdo->prepare($sql); //按照?的顺序绑定参数值
$stmt->bindParam(1,$username);
$stmt->bindParam(2,$password);
$stmt->bindValue(3,'default@qq.com');
$stmt->execute();
echo $stmt->rowCount();
 
        使用其中bindValue()方法给第三个占位符绑定一个常量'default@qq.com',它不随变量的变化而变化。
 
        bindColumn()方法绑定返回结果集的一列到变量:   
 
$sql='SELECT * FROM user';
$stmt=$pdo->prepare($sql);
$stmt->execute();
$stmt->bindColumn(2,$username);
$stmt->bindColumn(4,$email);
while($stmt->fetch(PDO::FETCH_BOUND)){
  echo '用户名:'.$username.",邮箱:".$email.'<hr/>';
}
        关于pdo实现mysql防注入的方法就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果还想要了解更多pdo mysql防注入,可以浏览其他相关文章。

(编辑:开发网_郴州站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

    热点阅读