PDO通过预处理语句防止sql注入

最新推荐文章于 2023-05-03 14:24:19 发布
最新推荐文章于 2023-05-03 14:24:19 发布
阅读量518 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: PHP pdo
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/li15175056281/article/details/90580438
博客介绍简单登录页面防注入相关内容。先在数据库test中建表并插入数据,展示登入界面。先正常编写check.php页面,未做处理时输入注入语句可成功注入;后更换为预处理语句(占位符),再次输入注入语句则无法注入,实现防注入。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

简单登录页面防注入

数据库:test;

建表
CREATE TABLE USER(
	id INT UNSIGNED AUTO_INCREMENT KEY,
	username VARCHAR(20) NOT NULL,
	password CHAR(32) NOT NULL,
	email CHAR(32) NOT NULL
);
向表中插入一条数据:
INSERT INTO user(username,password,email) VALUES('user','root','123@qq.com');
登入界面:
<!DOCTYPE html>
	<html lang="en">
<head>
	<meta charset="UTF-8">
	<title>login</title>
</head>
<body>
	<form action="check.php" method="post" accept-charset="utf-8">
		用户名:<input type="text" name="username"><br>
		密 码:<input type="password" name="psw"><br>
		<input type="submit"value="提交"> 
	</form>
</body>
</html>
1.首先先正常编写check.php页面,不做任何处理。
header('content-type:text/html;charset=utf-8');
$username=$_POST['username'];
$psw=$_POST['psw'];
try {
	$pdo=new PDO('mysql:host=localhost;dbname=test','root','root');
	$sql="select * from user where username='{$username}' and password='{$psw}'";
	$stmt=$pdo->query($sql);//返回结果集中的行数echo 
	$stmt->rowCount();
} catch (Exception $e) {
	echo $e->getMessage();
}

执行操作
输入正确的用户名:user 密码:root
结果:1(因为查询到一条记录 通过echo rowCount()输出)
输入错误的用户名或密码
结果:0
输入注入语句
用户名:'or 1=1 # 密码:随便写 结果:1

2.更换为预处理语句(占位符)
第一种
header('content-type:text/html;charset=utf-8');
$username=$_POST['username'];
$psw=$_POST['psw']; 
try {
	$pdo=new PDO('mysql:host=localhost;dbname=test','root','root');  
	$sql="select * from user where username=:username and password=:psw";  
	$stmt=$pdo->prepare($sql);  
	$stmt->execute(array(":username"=>$username,":psw"=>$psw)); 
	echo $stmt->rowCount(); 
} catch (Exception $e) {  
	echo $e->getMessage();
}
第二种
header('content-type:text/html;charset=utf-8');
$username=$_POST['username'];
$psw=$_POST['psw']; 
try {  
	$pdo=new PDO('mysql:host=localhost;dbname=test','root','root');  
	$sql="select * from user where username=? and password=?";  
	$stmt=$pdo->prepare($sql);  
	$stmt->execute(array($username,$psw));  
	echo $stmt->rowCount(); 
} catch (Exception $e) {  
	echo $e->getMessage(); 
}

执行操作
输入注入语句
用户名:'or 1=1 #  密码:随便写      结果:0   说明已经无法注入。

PHP中的PDO扩展如何使用预处理语句防止SQL注入攻击?有哪些安全实践建议?
Marthaondon的博客
04-15 1446
然后,我们使用prepare()方法准备了一个预处理语句,该语句中的:name和:email是占位符,我们将在执行语句之前为它们绑定具体的值。更重要的是,PDO支持预处理语句,这是一种在执行时将数据与SQL语句分开的方法,从而有效地防止SQL注入攻击。预处理语句的工作原理是,先将SQL语句模板发送到数据库服务器进行预编译,然后在执行时再绑定具体的参数值。这样,即使参数值中包含可能破坏SQL语句结构的特殊字符(如单引号),也不会影响预编译的SQL语句模板,从而有效地防止SQL注入。// 准备预处理语句
PDO扩展安全加固:预处理语句SQL注入防御极限测试.pdf
07-23
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿...
自己封装的PDO类,可以处理mysql增删改查,支持预处理
01-09
自己封装的PDO类,可以处理mysql增删改查等基础操作,也可以实现执行原装的sql语句,支持预处理
pdo基本使用及pdo预处理sql注入
天下熙熙,皆为利来;天下攘攘,皆为利往。
07-21 1547
$dsn = "mysql:host=localhost;dbname=pdo"; $db=new PDO($dsn,'root','root',array(PDO::MYSQL_ATTR_INIT_COMMAND=>'set names utf8')); $rs = $db->exec("insert into jq_insert(info) values('zhangsan')"); //p
pdo mysql注入_Php中用PDO查询Mysql来避免SQL注入风险的方法
weixin_28695161的博客
01-19 254
当我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHP的PDO扩展的 prepare 方法,就可以避免sql injection 风险。PDO(PHP Data Object) 是PHP5新...
2017-07-25 PDO预处理以及防止sql注入
ayucfqwua07405842的博客
07-25 157
首先来看下不做任何处理的php登录,首先是HTML页面代码 <html> <head><title>用户登录</title></head> <body> <fieldset> <legend><h3>用户登录</h...
PHP中使用PDO预处理功能避免SQL注入
weixin_30546189的博客
05-19 249
不使用预处理功能 <?php $id = $_GET['id']; $dsn = 'mysql:host=localhost;port=3306;dbname=database'; try { $pdo = new PDO($dsn, $user, $pass); $sql = 'SELECT * FROM table where id = ' . $id; $stm...
防止SQL注入的终极方案:PDO预处理语句与参数绑定实战.pdf
最新发布
07-28
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿...
PHP的PDO预处理语句与存储过程
10-17
此外,预处理语句还可以有效防止SQL注入攻击,因为参数绑定避免了直接将用户输入拼接到SQL语句中。 PDO(PHP Data Objects)扩展是PHP的一个数据库访问抽象层,它提供了一种统一的方法来访问多种数据库。PDO支持...
PDO预处理防止SQL注入
06-02
是的,PDO预处理可以有效地防止SQL注入预处理是一种在执行SQL语句之前先将SQL语句和参数分离的机制...因此,PDO预处理是一种能够有效防止SQL注入攻击的方法,建议在使用PDO连接数据库时,优先选择使用PDO预处理语句
PDO预处理sql注入
LXC
06-11 1182
$pdo=new PDO('mysql:host=127.0.0.1;dbname=ci','root','root',array(PDO::MYSQL_ATTR_INIT_COMMAND=>'set names utf8')); $arr=$pdo->prepare("insert into ceshi(ip,country,province,city,district,carrier)VALU
PDO预处理防御SQL注入
路虽远,行将至。事虽难,做必达。
04-07 6584
PDO可以被认作是一种通过编译SQL语句模板来运行SQL语句的机制。 查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编译/优化周期。简言之,预处理语句占用更少的资源,因而运行得更快。 提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,可以
mysql pdo 安全_PDO防止sql注入的原理
weixin_31427047的博客
01-27 412
首先,PDO可以被认作是一种通过编译SQL语句模板来运行sql语句的机制。预处理语句可以带来两大好处:1.查询只需要被解析(或编译)一次,但可以执行多次通过相同或不同的参数。当查询处理好后,数据库将分析,编译和优化它的计划来执行查询。对于复杂的查询这个过程可能需要足够的时间,这将显著地使得应用程序变慢,如果有必要,可以多次使用不同的参数 重复相同的查询。通过使用处理好的语句的应用程序避免重复 【分...
使用预处理防止sql注入
cpy1356140308的博客
05-03 594
使用预处理语句(Prepared Statement)是一种有效的方法来防止SQL注入攻击。预处理语句SQL查询或更新语句与参数分开处理,确保参数的值不会被解释为SQL代码的一部分。通过使用预处理语句SQL查询或更新语句中的参数将被视为纯粹的数据值,而不会被解释为SQL代码的一部分。方法创建一个预处理语句。在创建预处理语句时,将SQL查询或更新语句作为参数传递给该方法。如果是更新语句,可以通过返回的受影响行数来判断操作是否成功。方法的参数类型取决于相应参数的数据类型。执行查询或更新:使用预处理语句的。
php pdo注入,简单登录的PDO预处理SQL注入
weixin_34469152的博客
03-21 281
1,新建一个user表create table user(id int(4) not null primary key auto_increment,name varchar(255) not null,pwd varchar(255) not null)CHARSET=utf8;2,插入测试数据INSERTINTOuser(name,pwd)VALUES('bobo','bobo');3,...
PDO预处理是如何防止SQL注入
y0un9er
05-13 2819
通过日志分析PDO是如何防止SQL注入
占位符(预处理防止sql注入
weixin_30444105的博客
03-13 610
 最差的是写sql拼接变量形成字符串。一注就死。 在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL 指令的编译后,才套用参数执行,因此就算参数中含有具破坏性的指令,也不会被数据库所执行。  定义好sql语句和参数后就是执行了,执行的时候需要同时将sql语句和参数传入,这样用户输入的带有非法字符的字符串在数据库会当作参数处...
【荐】PDOSQL注入攻击 原理分析 以及 使用PDO的注意事项
weixin_33742618的博客
11-24 260
我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答以下几个问题: 为什么要使用PDO而不是mysql_connect? 为何PDO能防注入? 使用PDO注入的时候应该特别注意什么? 一、为何要优先使用PDO? PHP手册上说得很清楚: Prepared statements and stored procedures Many of the...
PHP:PDO预处理机制在防SQL注入的作用/PDO CURD预处理/PDO预处理中bindValue与bindParam的不同之处
ZzzWClock的博客
10-07 599
PHP:PDO预处理机制在防SQL注入的作用/PDO CURD预处理/PDO预处理中bindValue与bindParam的不同之处 一.PDO预处理机制在防SQL注入的作用 pdo预处理机制 防止sql注入 pdo使用 ?参数占位符 或者 命名占位符 :name 需要使用到的方法 含义 prepare() 准备一条将要执行的预处理语句 返回的是pdo statement 对象 bindParam() 绑定一个参数到指定的变量名 execute() 执行一条预处理语句 ①未
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值