sql参数绑定防止注入

最新推荐文章于 2025-05-27 15:01:42 发布
转载 最新推荐文章于 2025-05-27 15:01:42 发布 · 5.8k 阅读 · 2

假设我们的用户表中存在一行.用户名字段为username.值为aaa.密码字段为pwd.值为pwd..

下面我们来模拟一个用户登录的过程..

  1. [php]   view plain  copy   在CODE上查看代码片 派生到我的代码片
    1. <?php    
    2. $username = "aaa";    
    3. $pwd = "pwd";    
    4. $sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'";    
    5. echo $sql//输出  SELECT * FROM table WHERE username = 'aaa' AND pwd = 'pwd'    
    6. ?>   


这样去执行这个sql语句.显然是可以查询出来东西的.返回用户的这一列.登录成功!!
然后我改一下..把密码改一下.随便一个值.如下.我改成了ppp.

  1. [php]   view plain  copy   在CODE上查看代码片 派生到我的代码片
    1. <?php    
    2. $pwd = 'ppp';    
    3. $sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'";    
    4. echo $sql//输出  SELECT * FROM table WHERE username = 'aaa' AND pwd = 'ppp'    
    5. ?>   


这样很显然.如果去执行这个SQL语句..是查询不到东西的.也就是密码错误.登录失败!!
但是有的人总是不老实的.他们会想尽一切办法来进行非法的登录.所谓非法就是在他不知道用户名密码的时候进行登录.并且登录成功..
那么他们所做的原理是什么呢??其实原理都是利用SQL语句..SQL语句强大的同时也给我们带来了不少麻烦..
我来举个最简单的例子.我们要运用到的SQL关键字是or
还是上面的代码.我们只要修改一下密码即可

  1. [php]   view plain  copy   在CODE上查看代码片 派生到我的代码片
    1. <?php    
    2. $username = "aaa";    
    3. $pwd = "fdsafda' or '1'='1";  //前面的密码是瞎填的..后来用or关键字..意思就是无所谓密码什么都执行    
    4. $sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'";    
    5. echo $sql;  //输出  SELECT * FROM table WHERE username = 'aaa' AND pwd = 'fdsafda' or '1'='1'    
    6. ?>   


执行一下这个SQL语句..可怕的事情发生了..竟然可以查询到这一行数据..也就是登录成功了..
这是多么可怕的事情..


SQL注入演示教程,见博文:http://blog.youkuaiyun.com/wusuopubupt/article/details/8818996


PHP为了解决这个问题.magic_quotes state..就是PHP会自动过滤传过来的GET.POST等等.
题外话.实践证明这个东西是畸形的..大部分程序不得不为判断此功能而耗费了很多代码..
在Java中可没有这个东西..那么Java中如何防止这种SQL注入呢??

Java的sql包中提供了一个名字叫PreparedStatement的类.
这个类就是我要说的绑定参数!
什么叫绑定参数??我继续给大家举例..(我用PHP举例)

  1. [php]   view plain  copy   在CODE上查看代码片 派生到我的代码片
    1. <?php    
    2. $username = "aaa";    
    3. $pwd = "pwd";    
    4. $sql = "SELECT * FROM table WHERE username = ? AND pwd = ?";    
    5. bindParam($sql, 1, $username'STRING');  //以字符串的形式.在第一个问号的地方绑定$username这个变量    
    6. bindParam($sql, 2, $pwd'STRING');       //以字符串的形式.在第二个问号的地方绑定$pwd这个变量    
    7. echo $sql;    
    8. ?>  

     

当然.到此.你肯定不知道会输出什么..更无法知道绑定参数有什么好处!这样做的优势是什么.更不知道bindParam这个函数到底做了什么.
下面我简单的写一下这个函数:

  1. [php]   view plain  copy   在CODE上查看代码片 派生到我的代码片
    1. <?php    
    2. /**   
    3.  * 模拟简单的绑定参数过程   
    4.  *   
    5.  * @param string $sql    SQL语句   
    6.  * @param int $location  问号位置   
    7.  * @param mixed $var     替换的变量   
    8.  * @param string $type   替换的类型   
    9.  */   
    10. $times = 0;    
    11. //这里要注意,因为要“真正的"改变$sql的值,所以用引用传值  
    12. function bindParam(&$sql$location$var$type) {    
    13.     global $times;    
    14.     //确定类型    
    15.     switch ($type) {    
    16.         //字符串    
    17.         default:                    //默认使用字符串类型    
    18.         case 'STRING' :    
    19.             $var = addslashes($var);  //转义    
    20.             $var = "'".$var."'";      //加上单引号.SQL语句中字符串插入必须加单引号    
    21.             break;    
    22.         case 'INTEGER' :    
    23.         case 'INT' :    
    24.             $var = (int)$var;         //强制转换成int    
    25.         //还可以增加更多类型..    
    26.     }    
    27.     //寻找问号的位置    
    28.     for ($i=1, $pos = 0; $i<= $location$i++) {    
    29.         $pos = strpos($sql'?'$pos+1);    
    30.     }    
    31.     //替换问号    
    32.     $sql = substr($sql, 0, $pos) . $var . substr($sql$pos + 1);   
    33. }    
    34. ?>   


注:由于得知道去除问号的次数..所以我用了一个global来解决.如果放到类中就非常容易了.弄个私有属性既可

通过上面的这个函数.我们知道了..绑定参数的防注入方式其实也是通过转义进行的..只不过是对于变量而言的..
我们来做一个实验:

  1. [php]   view plain  copy   在CODE上查看代码片 派生到我的代码片
    1. <?php    
    2. $times = 0;    
    3. $username = "aaaa";    
    4. $pwd = "123";    
    5. $sql = "SELECT * FROM table WHERE username = ? AND pwd = ?";    
    6. bindParam($sql, 1, $username'STRING');  //以字符串的形式.在第一个问号的地方绑定$username这个变量    
    7. bindParam($sql, 2, $pwd'INT');       //以字符串的形式.在第二个问号的地方绑定$pwd这个变量    
    8. echo $sql;  //输出  SELECT * FROM table WHERE username = 'aaaa' AND pwd = 123    
    9. ?>   


可以看到.生成了非常正规的SQL语句.那么好.我们现在来试下刚才被注入的那种情况

  1. [php]   view plain  copy   在CODE上查看代码片 派生到我的代码片
    1. <?php    
    2. $times = 0;    
    3. $username = "aaa";    
    4. $pwd = "fdsafda' or '1'='1";    
    5. $sql = "SELECT * FROM table WHERE username = ? AND pwd = ?";    
    6. bindParam($sql, 1, $username'STRING');  //以字符串的形式.在第一个问号的地方绑定$username这个变量    
    7. bindParam($sql, 2, $pwd'STRING');       //以字符串的形式.在第二个问号的地方绑定$pwd这个变量    
    8. echo $sql//输出  SELECT * FROM table WHERE username = 'aaa' AND pwd = 'fdsafda\' or \'1\'=\'1'    
    9. ?>   


可以看到.pwd内部的注入已经被转义.当成一个完整的字符串了..这样的话.就不可能被注入了.


mysql绑定参数_mysql使用bind_param()参数绑定防止SQL注入攻击
weixin_42116713的博客
01-20 490
什么是sql注入攻击在阅读这篇文章之前,我们必须要了解sql注入攻击的原理,下面我们使用一个简单的实例来介绍sql注入攻击,以php语言为例:$username="manongjc";$pwd="123";$sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'";此时sql语句为:SELECT * ...
ASP.NET Core MVC中使用SQL参数化防注入实战教程
caifox的博客
04-12 1028
MVC(Model-View-Controller)架构是一种软件设计模式,它将应用程序分为三个主要部分:模型(Model)、视图(View)和控制器(Controller)。模型负责处理应用程序的业务逻辑和数据访问,视图负责展示用户界面,控制器则负责处理用户的输入并协调模型和视图之间的交互。这种分离使得应用程序的各个部分更加独立,便于开发和维护。
mysql绑定参数bind_param原理以及防SQL注入
热门推荐
wusuopuBUPT的专栏
07-31 4万+
原文地址 :http://hi.baidu.com/woyigui/item/afc6ec2efaa49f0f73863e2e 绑定参数原理以及SQL注入.. 假设我们的用户表中存在一行.用户名字段为username.值为aaa.密码字段为pwd.值为pwd.. 下面我们来模拟一个用户登录的过程.. $username = "aaa";  $pwd = "pwd
SQL 三种注入方式详解,(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
05-27 3751
MySQL 提供了 load_file() 函数,可以帮助用户快速读取文件,但文件的位置必须在服务器上,文件必须为绝对路径,且用户必须有 FILE 权限,文件容量也必须小于 max_allowed_packet 字节 (默认为 16MB,最大为 1GB)。SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
利用“参数赋值”防范SQL注入漏洞攻击
weixin_34021089的博客
06-06 172
<<年轻,无权享受》————送给每一个看到此文的同僚们 在这无精打采的炎夏 我躺在阳台上房东的旧沙发 回想几个月来遇到的问题 我不禁内心开始慌张喘着粗气 还有大把时间去打拼 没有到只能总结过去的年纪 我可不想现在是束缚的 我了解自己应该是自由的 美好都被我亲手搞砸 我明白我没有时间贪去挥霍了 我可不想老了以后 自己是孤独的 年少的时候 没理由去享受 等到你老了 头发...
mysql bind param_mysql绑定参数bind_param原理以及防SQL注入
weixin_28756833的博客
01-27 341
下面我们来模拟一个用户登录的过程..《?php$username="aaa";$pwd="pwd";$sql="SELECT*FROMtableWHEREusername='{$username}'ANDpwd='{$pwd}'";echo$sql;//输出SELECT*FROMtableWHEREusername='aaa'ANDpwd='pwd'?...
mysql使用bind_param()参数绑定防止SQL注入攻击
luyaran的博客
12-01 3233
什么是sql注入攻击 在阅读这篇文章之前,我们必须要了解sql注入攻击的原理,下面我们使用一个简单的实例来介绍sql注入攻击,以php语言为例: $username="manongjc"; $pwd="123"; $sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'"; 此时sql语句为:
php mysql_real_escape_string addslashes及mysql绑定参数SQL注入攻击
10-20
参数绑定是一种防止SQL注入的高级技术,它将参数SQL语句分离,然后在执行时绑定。这样,即使用户输入了恶意数据,也不会影响SQL语句的结构。mysql_bind_param函数的使用方法是在SQL语句中设置占位符"?",然后使用...
Hibernate使用防止SQL注入的几种方案
01-20
指定参数类型可以帮助防止某些类型的SQL注入。 4. **使用setProperties()方法**: 当查询涉及到多个属性时,可以直接将对象的所有属性映射到查询中,减少手动设置参数的繁琐。例如: ```java Entity entity = ...
修改请求参数 防止 SQL 注入防止脚本注入
10-30
此外,还可以使用参数绑定或者ORM框架(如Hibernate)来处理用户输入,这些方法都会自动处理潜在的SQL注入风险。 接下来,我们讨论一下跨站脚本(XSS)攻击。XSS攻击发生在攻击者将恶意脚本插入到其他用户看到的...
pdo mysql bindparam_PDOStatement::bindParam
weixin_30310209的博客
01-19 173
PDOStatement::bindParamPDOStatement::bindParam — 绑定一个参数到指定的变量名(PHP 5 >= 5.1.0, PECL pdo >= 0.1.0)说明语法bool PDOStatement::bindParam ( mixed $parameter , mixed &$variable [, int $data_type = PD...
mysql bind_param_php – mysqli bind_param用于字符串数组
weixin_35257663的博客
01-21 307
你不能用一个问号绑定两个变量!对于您绑定的每个变量,您需要一个问号“bind_param”检查每个变量是否符合要求.之后,字符串值放在引号之间.这不行."SELECT name FROM table WHERE city IN (?)"; ( becomes too )$q_prepared->bind_param("s", $cities);"SELECT name FROM table ...
mysql bind param_php中bind_param()函数用法分析
weixin_42395426的博客
01-19 506
本文实例讲述了php中bind_param()函数用法。分享给大家供大家参考,具体如下:从字面上不难理解,绑定参数;下面我通过一个绑定参数的例子讲一下:for example:bind_param("sss", firstname,lastname, $email);1. 该函数绑定SQL参数,且告诉数据库参数的值。 "sss" 参数列处理其余参数的数据类型。s 字符告诉数据库该参数为字...
mysql bind_param_如何在PHP中动态绑定mysqli bind_param参数
weixin_36308751的博客
01-21 680
我一直在学习为我的sql查询使用准备和绑定的语句,我已经出来了这个到目前为止,它的工作正常,但它是不是动态的,当涉及到多个参数或没有任何参数需要时,public function get_result($sql,$parameter){# create a prepared statement$stmt = $this->mysqli->prepare($sql);# bind par...
mysql pdo prepare_PHP PDO prepare()、execute()和bindParam()方法详解
weixin_40007016的博客
01-19 241
每次将查询发送给MySql服务器时,都必须解析该查询的语法,确保结构正确并能够执行。这是这个过程的必要步骤,但也确实带来了一些开销。做一次是必要的,但如果反复地执行相同的查询,批量插入多行并只改变列值时会怎么样呢?预处理语句会在服务器上缓存查询的语法和执行过程,而只在服务器和客户端之间传输有变化的列值,以此来消除这些额外的开销。PDO为支持此特性的数据库提供了预处理语句功能。因为MySql支持这个...
php param参数,php中bind_param()函数用法分析
weixin_33334565的博客
03-09 1559
这篇文章主要介绍了php中bind_param()函数用法,简单分析了bind_param()函数的功能、参数使用方法与相关注意事项,需要的朋友可以参考下本文实例讲述了php中bind_param()函数用法。分享给大家供大家参考,具体如下:从字面上不难理解,绑定参数;下面我通过一个绑定参数的例子讲一下:for example:bind_param("sss", firstname,lastn...
bind_param()解析
weixin_30755393的博客
11-12 1106
如: $stmt->bind_param('sds',$name,$price,$description); 其中'sds'为要绑定参数的数据类型,分别是: 字母 表示绑定的值类型 d Decimal i Integer b...
使用SqlCheck防止SQL注入攻击
"这篇文档是关于防止SQL注入的脚本示例,主要使用C#语言编写,涉及到SqlConnection、SqlCommand等数据库操作类...这篇文档提供了一个C#防SQL注入的基础示例,但实际应用中,防止SQL注入应结合多种策略,确保数据安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值