php 使用PDO,防止sql注入 简单说明
PDO:php5
假如以下是一個(gè)簡(jiǎn)單的登錄處理:
使用PDO連接mysql首先:
新建數(shù)據(jù)庫(kù)
new PDO("mysql:host=localhost;dbname=test","root","root");host:服務(wù)器
dbname:數(shù)據(jù)庫(kù)名
后面兩個(gè)分別是帳號(hào)和密碼
默認(rèn)不是長(zhǎng)連接
如果想使用長(zhǎng)連接需要在后面加入?yún)?shù):
new PDO("mysql:host=host;dbname=name","user","pw","array(PDO::ATTR_PERSISTENT => true) ");看如下簡(jiǎn)單示例,在這里是單獨(dú)說明,所以我沒有加其他的東西:
<?php//接收前端傳過來的變量$name=$_POST['username'];$pwd=$_POST['password'];//這里新建PDO連接,在這里我是本地測(cè)試的所以host我使用了localhost 數(shù)據(jù)庫(kù)名為test,帳號(hào)為root密碼也是root$stmt = new PDO("mysql:host=localhost;dbname=test","root","root");//使用prepare進(jìn)行預(yù)處理,其中:name和:pwd是我們等下要傳入的變量值,這些都是占位符$stmt = $stmt->prepare('SELECT * FROM user1 WHERE user1 = :name and pw1 = :pwd');//以上的準(zhǔn)備都做好了之后,我們使用execute()方法負(fù)責(zé)執(zhí)行準(zhǔn)備好的查詢//該方法需要有每次迭代執(zhí)行中替換的輸入?yún)?shù),在這里就是:name和:pwd 作為數(shù)組將值傳遞給方法//從而值替換掉其中占位符//當(dāng)然也可以使用bindParam,但是我還是喜歡這種簡(jiǎn)單的方式,畢竟人懶$stmt->execute(array('name' => $name,'pwd'=>$pwd));while ($row = $stmt->fetch()) {print_r($row);}注釋已經(jīng)說明了要說的內(nèi)容,最后面使用while輸出查詢到的值,這樣就可以防止sql注入,如果不行,那么請(qǐng)自行測(cè)試,輸入如:’ or 1=1#
我們看我們的’ or 1=1#,如果我們的name輸入的是’ or 1=1#,注意 ’ or 1=1# 前面有一個(gè)單引號(hào),那么如果我們的sql語(yǔ)句本是如下:
把user1的值改為了 ’ or 1=1# 后。
變成了
其中由于sql中#代表:到此結(jié)束,那么說明后面的:and pw1=’234’都將無效,那么我們的sql語(yǔ)句就等于變成了如下語(yǔ)句:
SELECT * FROM user1 WHERE user1='' OR 1=1由于1=1是肯定成立的,那么此句sql語(yǔ)句中的where條件將會(huì)永遠(yuǎn)正確,此時(shí),語(yǔ)句變成或者說就等于了如下語(yǔ)句:
SELECT * FROM user1 WHERE TRUE或者說:
SELECT * FROM user1那么就會(huì)登錄成功,繞過了此次登錄。
總結(jié)
以上是生活随笔為你收集整理的php 使用PDO,防止sql注入 简单说明的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: sql 子查询(mysql)
- 下一篇: php 计时器microtime 以及去