PHP使用PDO实现mysql防注入功能详解

php  /  管理员 发布于 7年前   148

本文实例讲述了PHP使用PDO实现mysql防注入功能。分享给大家供大家参考，具体如下：

1、什么是注入攻击

例如下例：

前端有个提交表格：

  
    姓名：    密码：      

后台的处理如下：

query($sql);  //rowCount()方法返回结果条数或者受影响的行数  if($stmt->rowCount()>0){ echo "登陆成功!"};

正常情况下，如果你输入姓名为小王，密码xiaowang，会登陆成功，sql语句如下：select * from login WHERE username='小王' AND password='xiaowang' 登陆成功！

但是如果你输入姓名为 ' or 1=1 #,密码随便输一个，也会登陆成功，sql语句为：select * from login WHERE username='' or 1=1 #' AND password='xiaowang' 登陆成功！

可以看到username='' or 1=1，#注释调了之后的password语句，由于 1=1恒成立，因此这条语句会返回大于1的结果集，从而使验证通过。

2、使用quote过滤特殊字符，防止注入

在sql语句前加上一行，将username变量中的‘等特殊字符过滤，可以起到防止注入的效果

//通过quote方法,返回带引号的字符串，过滤调特殊字符$username=$pdo->quote($username);$sql="select * from login WHERE username={$username} AND password='{$password}' ";echo $sql;$stmt=$pdo->query($sql);//rowCount()方法返回结果条数或者受影响的行数if($stmt->rowCount()>0){  echo "登陆成功！";};

sql语句为：select * from login WHERE username='\' or 1=1 #' AND password='xiaowang'

可以看到“'”被转义\'，并且自动为变量$username加上了引号

3、通过预处理语句传递参数，防注入

//通过占位符:username,:password传递值，防止注入$sql="select * from login WHERE username=:username AND password=:password";$stmt=$pdo->prepare($sql);//通过statement对象执行查询语句，并以数组的形式赋值给查询语句中的占位符$stmt->execute(array(':username'=>$username,':password'=>$password));echo $stmt->rowCount();

其中的占位符也可以为？

//占位符为？$sql="select * from login WHERE username=? AND password=?";$stmt=$pdo->prepare($sql);//数组中参数的顺序与查询语句中问号的顺序必须相同$stmt->execute(array($username,$password));echo $stmt->rowCount();

4、通过bind绑定参数

bindParam()方法绑定一个变量到查询语句中的参数：  

$sql="insert login(username,password,upic,mail) values(:username,:password,:age,:mail)";$stmt=$pdo->prepare($sql);//第三个参数可以指定参数的类型PDO::PARAM_STR为字符串，PDO::PARAM_INT为整型数$stmt->bindParam(":username",$username,PDO::PARAM_STR);$stmt->bindParam(":password",$password,PDO::PARAM_STR);$stmt->bindParam(":age",$age,PDO::PARAM_INT);//使用bindValue()方法绑定一个定值$stmt->bindValue(":mail",'[email protected]');$stmt->execute();echo $stmt->rowCount();

使用问号做占位符：

$sql="insert login(username,password,mail) values(?,?,?)";//注意不是中文状态下的问号？ $stmt=$pdo->prepare($sql); //按照?的顺序绑定参数值 $stmt->bindParam(1,$username); $stmt->bindParam(2,$password); $stmt->bindValue(3,'[email protected]'); $stmt->execute(); echo $stmt->rowCount();

使用其中bindValue()方法给第三个占位符绑定一个常量'[email protected]'，它不随变量的变化而变化。

bindColumn()方法绑定返回结果集的一列到变量：   

$sql='SELECT * FROM user';$stmt=$pdo->prepare($sql);$stmt->execute();$stmt->bindColumn(2,$username);$stmt->bindColumn(4,$email);while($stmt->fetch(PDO::FETCH_BOUND)){  echo '用户名：'.$username.",邮箱：".$email.'
';}

更多关于PHP相关内容感兴趣的读者可查看本站专题：《PHP基于pdo操作数据库技巧总结》、《php+mysqli数据库程序设计技巧总结》、《php面向对象程序设计入门教程》、《php字符串(string)用法总结》、《php+mysql数据库操作入门教程》及《php常见数据库操作技巧汇总》

希望本文所述对大家PHP程序设计有所帮助。

您可能感兴趣的文章:

• 防止MySQL注入或HTML表单滥用的PHP程序
• PHP MYSQL注入攻击需要预防7个要点
• PHP+mysql防止SQL注入的方法小结
• php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
• Php中用PDO查询Mysql来避免SQL注入风险的方法
• PHP连接MySQL数据库的三种方式实例分析【mysql、mysqli、pdo】
• php中mysql连接方式PDO使用详解
• php中数据库连接方式pdo和mysqli对比分析
• php基于PDO实现功能强大的MYSQL封装类实例
• PHP基于pdo的数据库操作类【可支持mysql、sqlserver及oracle】
• PHP使用PDO创建MySQL数据库、表及插入多条数据操作示例
• php使用mysqli和pdo扩展，测试对比mysql数据库的执行效率完整示例