PHP之PDO预编译防SQL注入

最新推荐文章于 2025-06-06 07:30:00 发布
原创 最新推荐文章于 2025-06-06 07:30:00 发布 · 2.8k 阅读 · 11 ·
CC 4.0 BY-SA版权
anansec
文章标签:

#php预编译 #防sql注入 #PDO预编译 #php防sql #注入

本文介绍如何使用PHP PDO预处理机制来有效防止SQL注入攻击。通过示例代码展示预编译语句、变量绑定等关键步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

很多对代码不熟悉的朋友总觉得PDO能够有效防止SQL注入,其实真正防止SQL注入的是php预处理,你可以使用mysqli面向对象预处理、面向过程预处理,也可以使用PDO预处理,其实真正起作用的还是预处理。下面的代码会表达出PDO预处理的精髓!

$dbms = 'mysql';
$db_host = 'localhost';
$db_user = 'root';
$db_pass = 'root';
$db_name = 'study';
$dsn = "$dbms:host=$db_host;dbname=$db_name";
$conn = new PDO($dsn,$db_user,$db_pass);
//判断数据库是否连接成功
if($conn->errorCode()){
	die("filed".$conn->errorInfo());
}

$sql = "select * from users where username = :name";
//预编译语句
$stmt = $conn->prepare($sql);
//定义要传入的变量(可以接收传过来的值)
$username='admin';
//将变量绑定到占位初
$stmt ->bindParam(':name',$username);
//执行sql语句
$stmt->execute();
// pdo预编译 占位符
// $sql = "select * from users where username=? ";
// $stmt = $conn->prepare($sql);
// $username = 'root';
//占位符通过变量绑定
// $stmt -> bindParam(1,$username);
// $stmt->execute();
// $stmt->bindColumn(3,$id);
// $stmt->bindColumn(2,$username);
// 占位符通过数组绑定
// $stmt ->execute([$username]);
// $stmt->bindColumn(3,$id);
// $stmt->bindColumn(2,$username);
//将对应的数据库对应的列绑定到变量上
$stmt->bindColumn(1,$pass);
$stmt->bindColumn(2,$user);
$stmt->bindColumn(3,$id);
//将数据取出
while($stmt->fetch()){
	echo $id."<br>";
	echo $username."<br>";
}
//释放内存资源
$stmt =null;
//断开连接
$conn = null;

需要转载的朋友请附本文连接,谢谢!

《网络安全自学教程》- 预编译SQL注入的原理分析
wangyuxiang946的博客
08-16 1万+
SQL执行过程,预编译原理,预编译如何SQL注入预编译的局限性
pdo 参数化查询 mysql函数_PDO(预编译参数化查询)和安全问题
weixin_29661407的博客
02-28 724
前言在看梅子酒师傅的一篇文章中:https://meizjm3i.github.io/2018/04/04/对PHP类CMS审计的一点总结/看到了对SQL注入的挖掘思绪:cms中若是使用了PDO,我们的挖掘思绪就是跟进涉及到table,order by等字段的拼接去,由于这些字段是无法使用PDO的。为什么无法使用?这篇文章来剖析一下。什么是PDO毫无疑问,他的无法使用和PDO有关。我们先来领会一下...
PDO预编译sql注入
qq_64395221的博客
06-20 1491
刚学web安全的时候学到sql注入御,那些文章基本上都会说利用pdo预编译就可以近乎完美sql注入,或者看到一些渗透经验贴,遇到sql经过预编译的网站师傅们总是会建议赶紧换个站,那么预编译究竟能不能完美sql注入,或者说预编译下的sql注入有什么奇技淫巧吗?首先是第一个问题,为什么预编译或者说参数化查询可以sql注入呢?我之前看过的一个面经上是这么写的:使用参数化查询数据库服务器不会把参数的内容当作 sql 指令的一部分来执行,是在数据库完成 sql 指令的编译后才套用参数运行。
php PDO预编译、预处理语句prepare
qq_61975388的博客
08-17 550
php POD PHP PDO 是什么? php数据对象扩展为了php访问数据库定义了一个轻量级的一致接口,PDO提供了一个数据访问抽象层,都可以用相同的方法来查询修改数据库。 预编译 是什么? 预编译是做些代码文本的替换工作。 处理以# 开头的指令 , 比如拷贝 #include 包含的文件代码,#define 宏定义的替换 , 条件编译等,就是为编译做的预备工作的阶段。 主要处理#开始的预编译指令,预编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序中的任何位置。 C 编译系
SpringBootSQL注入最佳实践:从基础到高级全面指南
最新发布
专注Java开发与国产数据库技术分享,涵盖达梦DM8/OceanBase/GaussDB核心原理与实战,兼及DeepSeek大模型部署、YOLOv11训练等AI技术,为开发者提供从基础到进阶的技术干货。
06-06 1204
SpringBootSQL注入全指南:从基础到高级实践 摘要:本文系统介绍了SpringBoot中SQL注入的完整方案。首先解析SQL注入原理及危害,包括数据泄露、篡改等风险。核心护措施包括:使用预编译语句、正确应用JdbcTemplate和ORM框架(JPA/Hibernate/MyBatis)的参数化查询。高级护技术涵盖输入验证、存储过程调用和最小权限原则。文章还提供了SQL火墙集成和数据脱敏等进阶方案,通过详实的代码示例和对比表格,帮助开发者构建多层次的SQL注入护体系。特别强调御深
php pdo sql注入,PHP使用PDO简单实现SQL注入的方法
weixin_29194693的博客
03-10 448
PHP使用PDO简单实现SQL注入的方法方法一:execute代入参数
PHP PDO 抽象类 预编译SQL注入
zhoumi_
12-09 320
分享一个PHP PDO 的工具类,采用预编译有效SQL注入 先上源码 <?php class DB { # @object, The PDO object private $pdo; # @object, PDO statement object private $sQuery; # @array, The database setting...
分享一个PHP PDO 的工具类,采用预编译有效SQL注入
blovecat的博客
07-27 2292
分享一个PHP PDO 的工具类,采用预编译有效SQL注入
使用PDOsql注入的原理分析
12-16
本文使用pdo的预处理方式可以避免sql注入。下面话不多说了,来一起看看详细的介绍吧 在php手册中’PDO–预处理语句与存储过程’下的说明: 很多更成熟的数据库都支持预处理语句的概念。什么是预处理语句?可以把它...
phpSQL注入的最佳解决方法
10-27
为了SQL注入,最佳的解决方法是使用预编译语句和参数化查询。预编译语句指的是先将SQL语句发送到数据库服务器进行解析和编译,而参数化查询则是在编译后的SQL语句中插入参数,而不是将变量直接拼接进去。这样做...
87)PHP,PDO预编译技术
weixin_30809333的博客
08-19 359
(1)          比如以下的语句: 1 insert into biao1 values(‘李宁’,‘100’); 2 insert into biao1 values(‘安踏’,‘100’); 3 insert into biao1 values(‘匹克’,‘100’); 4 insert into biao1 values(‘乔丹’,‘100’); ...
PHP PDO预处理
翔宇的博客
03-05 899
使用部门封装的MySQL操作类插入语句时碰到一个参数不明白,use_prepare = true。查文档发现是做数据库预处理用的,那么什么是数据库预处理呢?就是将动态参数嵌入到语句中编译的一个过程,编译后的语句可以重复利用。在phpPDO中,用法是: &lt;?php $stmt = $dbh-&gt;prepare("INSERT INTO REGISTRY (name, value) ...
php 本地模拟预编译,PHP预编译机制及Bypass注入_安全文档_小迪渗透吧-提供最专业的渗透测试培训,web安全培训,网络安全培训,代码审计培训,安全服务培训,CTF比赛培训,SRC平台挖掘培训...
weixin_36361600的博客
04-14 442
本文作者:Twe1ve(贝塔安全实验室-核心成员)免责声明:本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安全+的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!PDOPHP 数据对象PHP访问数据库定义了一个轻量级的一致接口。PDO 提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方...
PDO预编译语句执行查询与DML操作
weixin_30454481的博客
07-27 311
代码示例: MyPDO.class.php的代码如下: /** * 使用PDO预编译语句执行DML操作并返回受影响的行数 * @param $sql 需要执行的SQL语句(预编译语句写法) * @param array $arr 预编译语句需要添加的数据值,数组结构 * @return int 返回DML执行后受影响的行数 */publ...
PHP利用PDO实现mysql注入
prefertea的博客
10-15 219
1、什么是注入攻击 例如下例: 前端有个提交表格: <form action="test.php" method="post"> 姓名:<input name="username" type="text"> 密码:<input name="password" type="password"> <inp...
PDO预处理
weixin_30764771的博客
07-05 207
什么是预处理? 成熟的数据库都支持预处理语句(Prepared Statements)的概念。 它们是什么东西?你可以把它们想成是一种编译过的要执行的SQL语句模板,可以使用不同的变量参数定制它。 预处理语句具有两个主要的优点: 1 查询只需要被解析(或准备)一次,但可以使用相同或不同的参数执行多次。当查询准备好(Prepared)之后,数据库就会分析,编译并优化它要执行查询的计划。 对...
php 预先引用,PHP预编译的使用
weixin_35193131的博客
03-10 987
PHP中,使用预编译不仅可以简化代码,还可以止有些数据的泄露/*** 我直接针对PDO的封装类* User: seven* Date: 2017/7/26* Time: 9:43*/class MyPDO{/** 访问数据库的PDO对象 */protected $pdo;/*** 当前类的构造函数* 读取数据库配置信息文件,并初始化PDO对象*/function __construct(){i...
PHP_数据库_PDO查询操作和预编译语句操作。
weixin_33721427的博客
04-22 173
PDO使用dns进行连接,我采用new ClassName()方式(其实大同小异,形式罢了)。 尝试先插入,然后查询,在查询遍历每一条的时候插入。结果很简单,第一次插入能插入,但是在遍历结束之前是不能插入的。 1 <?php 2 $dsn = 'mysql:dbname=stuphp;host=127.0.0.1'; 3 $user = 'root'; 4 $passw...
PHP使用PDO简单实现SQL注入的方法
NII的博客
09-11 1888
方法一:execute代入参数  &lt;?php if(count($_POST)!= 0) { $host = 'aaa'; $database = 'bbb'; $username = 'ccc'; $password = '***'; $num = 0; $pdo = new PDO("mysql:host=$host;dbname=$database", $u...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

anansec

打赏是我创作路上的加油剂!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值