本文实例讲述了php使用pdo实现mysql防注入功能。分享给大家供大家参考,具体如下:
1、什么是注入攻击
例如下例:
前端有个提交表格:
<form action="test.php" method="post"> 姓名:<input name="urname" type="text作风纪律整顿心得体会"> 密码:<input name="password" type="password"> <input type="submit" value="登陆"> </form>
后台的处理如下:
<?php $urname=$_post["urname"]; $password=$_post["password"]; $age=$_post["age"]; //连接数据库,新建pdo对象 $pdo=new pdo("mysql:host=localhost;dbname=phpdemo","root","1234"); $sql="lect * from login where urname='{$urname}' and password='{$password}' "; echo $sql; $stmt=$pdo->query($sql); //rowcount()方法返回结果条数或者受影响的行数 if($stmt->rowcount()>0){ echo "登陆成功!"};正常情况下,如果你输入姓名为小王,密码xiaowang,会登陆成功,sql语句如下:lect * from login where urname='小王' and password='xiaowang' 登陆成功!
但是如果你输入姓名为 ‘ or 1=1 #,密码随便输一个,也会登陆成功,sql语句为:lect * from login where urname='' or 1=1 #' and password='xiaowang' 登陆成功!
可以看到urname=” or 1=1,#注释调了之后的password语句,由于 1=1恒成立,因此这条语句会返回大于1的结果集,从而使验证通过。
2、使用quote过滤特殊字符,防止注入
在sql语句前加上一行,将urname变量中的‘等特殊字符过滤,可以起到防止注入的效果
//通过quote方法,返回带引号的字符串,过滤调特殊字符$urname=$pdo->quote($urname);$sql="lect * from login where urname={$urname} and password='{$password}' ";echo $sql;$stmt=$pdo->query($sql);//rowcount()方法返回结果条数或者受影响的行数if($stmt->rowcount()>0){ echo "登陆成功!";};sql语句为:lect * from login where urname='\' or 1=1 #' and password='xiaowang'
可以看到“’”被转义\’,并且自动为变量$urname加上了引号
3、通过预处理语句传递参数,防注入
//通过占位符:urname,:password传递值,防止注入$sql="lect * from login where urname=:urname and password=:password";$stmt=$pdo->prepare($sql);//通过statement对象执行查询语句,并以数组的形式赋值给查询语句中的占位符$stmt->execute(array(':urname'=>$urname,':password'=&加拿大留学条件gt;$password));echo $stmt->rowcount();其中的占位符也可以为?
//占位符为?$sql="lect * from login where urname=? and password=?";$stmt=$pdo->prepare($sql);//数组中参数的顺序与查询语句中问号的顺序必须相同$stmt->execute(array($urname,$password));echo $stmt->rowcount();
4、通过bind绑定参数
bindparam()方法绑定一个变量到查询语句中的参数:
$sql="inrt login(urname,password,upic,mail) values(:urname,:password,:age,:mail)";$stmt=$pdo->prepare($sql);//第三个参数可以指定参数的类型pdo::param_str为字符串,pdo::param_int为整型数$stmt->bindparam(":urname",$urname,pdo::param_str);$stmt->bindparam(":password",$password,pdo::param_str);$stmt->bindparam(":age",$age,pdo::param_int);//使用bindvalue()方法绑定一个定值$stmt->bindvalue(":mail",'default@qq.com');$stmt->execute();echo $stmt->rowcount();使用问号做占位符:
$sql="inrt login(urname,password,mail) values(?,?,?)";//注意不是中文状态下的问号? $stmt=$pdo->prepare($sql); //按照?的顺序绑定参数值 $stmt->和二bindparam(1,$urname); $stmt->bindparam(2,$password); $stmt->bindvalue(3,'default@qq.com'); $stmt->execute(); echo $stmt->rowcount();
使用其中bindvalue()方法给第三个占位符绑定一个常量’default@qq.com‘more的意思;,它不随变量的变化而变化。
bindcolumn()方法绑定返回结果集的一列到变量:
$sql='lect * from ur';$stmt=$pdo->prepare($sql);$stmt->execute();$stmt->bindcolumn(2,$urname);$stmt->bindcolumn(工程测量实习总结4,$email);while($stmt->fetch(pdo::fetch_bound)){ echo '用户名:'.$urname.",邮箱:".$email.'<hr/>';}
本文发布于:2023-04-08 04:08:48,感谢您对本站的认可!
本文链接:https://www.wtabcd.cn/fanwen/zuowen/ffd082a2fda120bb6e5d5fbe1ea6887b.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
本文word下载地址:PHP使用PDO实现mysql防注入功能详解.doc
本文 PDF 下载地址:PHP使用PDO实现mysql防注入功能详解.pdf
| 留言与评论(共有 0 条评论) |
