PHP复习_PDO数据库连接属性和防SQL注入

最新推荐文章于 2023-05-27 14:30:39 发布
最新推荐文章于 2023-05-27 14:30:39 发布
阅读量188 收藏
点赞数
CC 4.0 BY-SA版权
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.youkuaiyun.com/cpongo6/article/details/95944804
博客介绍了数据库操作相关内容。通过getAttribute()可设置数据库连接属性,如自动提交、错误处理模式等,部分属性可能因数据库驱动不支持而不存在。还提到用quote()方法防止SQL注入,强调要过滤用户输入的数据。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

getAttribute()设置数据库连接属性

PHP复习_PDO数据库连接属性和防SQL注入24.png

先确认可以得到那些属性,然后在设置一下

PHP复习_PDO数据库连接属性和防SQL注入46.png

PHP复习_PDO数据库连接属性和防SQL注入48.png

1表示默认情况下自动提交时开启的

 

PHP复习_PDO数据库连接属性和防SQL注入68.png

PHP复习_PDO数据库连接属性和防SQL注入70.png

0代表错误模式默认的是静默模式

 

那么,我们可以通过setAttribute()设置自动提交的属性为0

PHP复习_PDO数据库连接属性和防SQL注入124.png

那么,我们可以设置哪些属性呢??

PHP复习_PDO数据库连接属性和防SQL注入143.png

PHP复习_PDO数据库连接属性和防SQL注入145.png

常用的是前三个:

第一个是是否自动提交PDO::ATTR_AUTOCOMMIT,自动提交为1,否则为0

第二个是错误处理模式PDO::ATTR_ERRMODE,静默模式为0

第三个是字段名称是否大小写转换PDO::ATTR_CASE,不开启大小写为0

 

注意:如果部分属性是没有的,表示数据库驱动不支持这种属性

PHP复习_PDO数据库连接属性和防SQL注入303.png

数据库的一些链接属性可以放在$options

PHP复习_PDO数据库连接属性和防SQL注入329.png

 

 

quote()方法防止SQL注入

PHP复习_PDO数据库连接属性和防SQL注入350.png

PHP复习_PDO数据库连接属性和防SQL注入352.png

一定要过滤用户输入的数据

PHP复习_PDO数据库连接属性和防SQL注入367.png

PHP复习_PDO数据库连接属性和防SQL注入369.png

 

 

 

25-4 SQL注入攻击 - update注入
weixin_43263566的博客
03-09 1005
使用mysql函数:代码中使用了过时的mysql函数来执行SQL查询,而不是使用更安全的mysqli或PDO。mysql函数对于SQL注入攻击是脆弱的,因为它没有提供预处理语句的功能。黑名单过滤只能止已知的攻击字符串,而无法应对所有可能的变种绕过方法。替换为适合您情况的实际条件,以确保只有符合条件的行会被更新。获取用户输入的ID值,但没有对其进行充分的验证过滤,直接将其用于SQL查询。自定义的黑名单过滤机制:代码中使用了自定义的黑名单函数。用户输入未经过充分验证过滤:在代码中,通过。
【web安全】安装dvwa | sql注入复习
Vector_seven的博客
09-07 271
密码admin密码password80端口默认可以访问到,但是其他端口并未对外开放服务端对用户输入的数据未做严格的检测或过滤,导致用户输入的恶意sql命令拼接到正常的sql中成功执行,造成数据的修改窃取等损失用户输入的数被当作代码执行(违背了“数据与代码分离”的安全原则)1)用户可控参数 2)传入的恶意sql可以被成功执行寻找存在注入的方式:通常是 单引号 测试对比页面回显判断(一)GET:url中,涉及url编码(二)POST:(三)HEAD:包括cookie、user-agent、x-forwar
pdo设置读取数据库连接属性
鱼火
08-13 811
PDO对象有一个getAttribute()方法,成对儿的,还有一个setAttribute()方法。是需要传递参数的。 比如我们想知道数据库是否是自动提交的,就这样写 echo $pdo->getAttribute(PDO::ATTR_AUTOCOMMIT); 默认是1,自动提交。如果我们想设置成不自动提交,就这样写 $pdo->setAttribute(PDO::ATTR_AUTO
php PDO链接数据库(SQL注入)
nocomment_84的博客
07-27 731
class mysql_pdo {     var $db_connect_id;     var $query_result;     var $row = array();     var $rowset = array();     var $num_queries = 0;     var $numRows =0;//插入,更新,删除后影响的行数     var $lastInsID =...
分享一个PHP PDO 的工具类,采用预编译有效SQL注入
blovecat的博客
07-27 2292
分享一个PHP PDO 的工具类,采用预编译有效SQL注入
PHP复习_封装万能的PDO
测试
07-11 275
以前学习过PDO,可是在公司使用项目的时候发现有点忘记了,于是花了点时间对PDO再次回顾,我的代码写的很详细了,在注释上有参考案例,有需要的可以在这里下载链接:https://pan.baidu.com/s/1tDSV_8hJdrReNa851Y5ZNQ 提取码:famt 下面我对这个类的一些重点方法进行解读本类定义的私有变量public static $config=array();//设置连...
php pdo数据库操作-预处理,PHP中操作数据库的预处理语句
weixin_42513616的博客
03-10 205
PHP中操作数据库的预处理语句今天这篇文章的内容其实也是非常基础的内容,不过在现代化的开发中,大家都使用框架,已经很少人会去自己封装或者经常写底层的数据库操作代码了。所以这回我们就来复习一下数据库中相关扩展中的预处理语句内容。什么是预处理语句?预处理语句,可以把它看作是想要运行的 SQL 语句的一种编译过的模板,它可以使用变量参数进行控制。预处理语句可以带来两大好处:查询仅需解析(或预处理)一次,...
sql注入学习-知识点大合集
weixin_49349476的博客
05-27 2585
SQL注入是Web应用程序攻击中最常见的攻击方式之一,是影响Web安全的主要问题之一
PHP100视频教程55:PHP5中使用PDO连接数据库.rar
02-29
PHP100视频教程55:...总结:这个教程包旨在帮助初学者或中级开发者掌握PHP5中使用PDO连接数据库的技术,通过视频教学书面资料结合的方式,使学习者能够全面理解PDO的功能用法,提升其在数据库操作方面的技能。
PHP——SQL注入测试靶场
05-27
PHP——SQL注入测试靶场】是一个用于学习实践SQL注入漏洞的安全平台,它通过PHP编程语言构建,目的是帮助开发者网络安全爱好者理解SQL注入的工作原理,以及如何范这种常见的Web安全威胁。SQL注入是一种攻击...
PHP实现数据库增删查改功能完整代码
08-02
为了避免SQL注入等安全问题,应当使用预处理语句参数化查询。这样不仅能够止恶意代码的执行,还能提高代码的可读性可维护性。此外,合理设计数据库表结构、使用索引优化查询性能,以及控制数据的传输量等都是...
基于MATPOWER的交流级联故障模型,用于电力网络的弹性分析。.zip
最新发布
08-16
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业毕业设计。
A152基于springboot+vue+微信小程序的在线考试系统源码
08-16
项目已获导师指导并通过的高分毕业设计项目,可作为课程设计期末大作业,下载即用无需修改,项目完整确保可以运行。 包含:项目源码、数据库脚本、软件工具等,该项目可以作为毕设、课程设计使用,前后端代码都在里面。 该系统功能完善、界面美观、操作简单、功能齐全、管理便捷,具有很高的实际应用价值。 项目都经过严格调试,确保可以运行!可以放心下载 视频演示地址: 链接: https://pan.baidu.com/s/1NRIhqyug112xCe7CW0wc8Q?pwd=ibmx 提取码: ibmx
基于ROS机器人操作系统的嵌入式前后端全栈开发框架-包含SLAM建图导航-深度学习目标检测-多传感器融合-Web可视化控制-远程监控-自动化测试-持续集成-用于智能机器人系统开发-.zip
08-16
python基于ROS机器人操作系统的嵌入式前后端全栈开发框架_包含SLAM建图导航_深度学习目标检测_多传感器融合_Web可视化控制_远程监控_自动化测试_持续集成_用于智能机器人系统开发_.zip
基于 Actor-Critic 与 LSTM 在 GTAV 中训练指定起止点自动驾驶策略的研究
08-16
资源下载链接为: https://pan.quark.cn/s/41afe435c5a4 基于 Actor-Critic 与 LSTM 在 GTAV 中训练指定起止点自动驾驶策略的研究(最新、最全版本!打开链接下载即可用!)
特定园区自动驾驶管理系统
08-16
资源下载链接为: https://pan.quark.cn/s/addfc1635aa5 特定园区自动驾驶管理系统(最新、最全版本!打开链接下载即可用!)
ML307A开发包,升级包,SDK
08-16
ML307A开发包,升级包,SDK
请给我PHP连接数据库及执行数据库的代码帮我复习
05-09
<think>好的,用户之前已经询问过PHP连接数据库并执行查询的代码示例,我给出了详细的回答,包括使用PDO连接MySQLAccess的例子。现在用户再次提出同样的问题,可能是在复习时需要更多的示例或不同的方法。需要结合用户提供的引用内容,看看是否有其他方式可以补充,比如使用mysqli面向对象的方式,或者ThinkPHP8的配置方法。 用户提供的引用中提到了不同的方法,比如引用24中的mysqli面向对象方式,引用3中的ThinkPHP8配置,引用5中的基础连接参数设置。虽然用户的主要需求是PHP原生代码,但可能需要覆盖不同的扩展,比如PDOmysqli,并比较它们的优缺点。此外,用户可能希望代码示例更全面,包含错误处理最佳实践,比如预处理语句SQL注入。 需要确保回答结构清晰,分点说明不同方法,并强调安全性,比如使用预处理。同时,注意用户之前的回答中已经提到了PDOAccess的例子,这次可能需要补充mysqli的方式,以及ThinkPHP框架的示例,但用户可能主要关注原生PHP,所以可能将框架部分作为扩展内容简要提及。 另外,用户提供的引用中有一些代码片段,需要检查是否有重复或需要补充的地方。例如,引用4中的mysqli示例可以整合到回答中,作为另一种连接方式。同时,要确保所有代码示例符合当前的最佳实践,比如使用异常处理、正确的字符集设置等。 最后,生成相关问题时要围绕连接方式、错误处理、预处理语句、事务处理等方面,帮助用户深入复习相关知识点。</think>### PHP连接数据库及执行查询的代码示例(MySQL) 以下是基于原生PHP的两种主流数据库连接方式(**PDO****mysqli**)的代码示例,包含错误处理安全实践。 --- #### 方式一:使用PDO扩展(推荐) ```php <?php // 数据库配置 $servername = "localhost"; $username = "root"; $password = ""; $dbname = "test_db"; try { // 1. 创建PDO连接(启用异常处理) $pdo = new PDO( "mysql:host=$servername;dbname=$dbname;charset=utf8mb4", $username, $password, [PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION] ); // 2. 使用预处理语句执行查询(SQL注入) $sql = "SELECT * FROM users WHERE email = :email"; $stmt = $pdo->prepare($sql); $stmt->bindValue(':email', 'user@example.com', PDO::PARAM_STR); $stmt->execute(); // 3. 获取结果(关联数组格式) $results = $stmt->fetchAll(PDO::FETCH_ASSOC); foreach ($results as $row) { echo "用户名: {$row['username']}, 邮箱: {$row['email']}<br>"; } } catch (PDOException $e) { // 4. 错误处理 die("数据库连接失败: " . $e->getMessage()); } ?> ``` --- #### 方式二:使用mysqli扩展(面向对象方式) ```php <?php // 数据库配置 $servername = "localhost"; $username = "root"; $password = ""; $dbname = "test_db"; // 1. 创建连接 $conn = new mysqli($servername, $username, $password, $dbname); // 2. 检查连接是否成功 if ($conn->connect_error) { die("连接失败: " . $conn->connect_error); } // 3. 使用预处理语句(SQL注入) $sql = "SELECT id, username FROM users WHERE age > ?"; $stmt = $conn->prepare($sql); $minAge = 18; $stmt->bind_param("i", $minAge); $stmt->execute(); // 4. 获取结果 $result = $stmt->get_result(); if ($result->num_rows > 0) { while ($row = $result->fetch_assoc()) { echo "ID: {$row['id']}, 用户名: {$row['username']}<br>"; } } else { echo "未找到记录"; } // 5. 关闭连接 $stmt->close(); $conn->close(); ?> ``` --- ### 关键点说明 1. **PDO优势** - 支持多种数据库(MySQL、PostgreSQL等) - 内置预处理语句异常处理[^1] - 推荐用于新项目开发 2. **安全实践** - 必须使用预处理语句(`prepare` + `bindParam`)SQL注入攻击[^2] - 设置字符集(如`utf8mb4`)避免乱码 3. **错误处理** - PDO需设置`ERRMODE_EXCEPTION`以捕获异常[^1] - mysqli通过`connect_error`属性检查连接状态 --- ### 扩展:ThinkPHP8框架示例 ```php // 1. 配置数据库(config/database.php) return [ 'default' => 'mysql', 'connections' => [ 'mysql' => [ 'type' => 'mysql', 'hostname' => '127.0.0.1', 'database' => 'test_db', 'username' => 'root', 'password' => '', 'charset' => 'utf8mb4', ], ], ]; // 2. 控制器中查询数据 use think\Model; class User extends Model { protected $table = 'users'; } // 查询年龄大于18的用户 $users = User::where('age', '>', 18)->select(); foreach ($users as $user) { echo $user->username; } ``` --- ### 常见问题解答 **Q1: 连接数据库时出现`Access denied`错误?** - 检查用户名/密码是否正确 - 确认数据库用户是否拥有远程连接权限(若连接非本地数据库) **Q2: 为什么推荐PDO而不是mysqli?** PDO提供统一的数据库操作接口,支持预处理事务管理,适合需要跨数据库迁移的项目[^1][^4]。 **Q3: 如何SQL注入攻击?** 务必使用预处理语句绑定参数,避免直接拼接SQL字符串(如`$sql = "SELECT * FROM users WHERE id = $_GET[id]"`是危险操作)[^2][^4]。 --- ### 相关问题 1. 如何在PHP中处理数据库事务? 2. PDOmysqli预处理语句的实现原理有何不同? 3. 如何优化PHP连接数据库的性能?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值