【PHP】使用参数绑定防止SQL注入

最新推荐文章于 2023-09-22 17:02:42 发布
最新推荐文章于 2023-09-22 17:02:42 发布
阅读量1.2k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhenglu008/article/details/42462639
本文通过一个简单的登录页面示例介绍了如何使用PHP与PDO来防止SQL注入,并展示了通过预处理方式来提升安全性。此外,还对比了使用预处理与直接执行SQL在大量数据插入时的效率差异。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

<html>
<head>
<title>Sql注入演示</title>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
</head>

<body >
<form action="" method="post">
    <fieldset>
        <legend>Sql注入演示</legend>
        <table>
            <tr>
                <td>用户名:</td>
                <td><input type="text" name="username"></td>
            </tr>
            <tr>
                <td>密  码:</td>
                <td><input type="text" name="password"></td>
            </tr>
            <tr>
                <td><input type="submit" value="提交"></td>
                <td><input type="reset" value="重置"></td>
            </tr>
        </table>
    </fieldset>
</form>
</body>
</html>

<?php

    if($_POST['username']){

        try{
            $pdo = new PDO('mysql:host=localhost;dbname=mydb', 'root', 'root');
            $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
        }catch(PDOException $e){
            die($e->getMessage());
        }


        try{
            /**
            * MySQL预处理和绑定
            * 当一条SQL被提交到MySQL的时候并不是立即执行,而是要先被编译为数据库可识别的指令然后再执行
            * 预处理的原理是先编译SQL,然后等待数据的传入,这样,当用户输入例如' or 1=1 #'的数据的时候
            * 该数据就仅仅作为数据被传入,而不再是SQL语句的一部分,从而达到预防注入的作用
            */
            $sql = "select * from users where user=:user and password=:password";
            $stmt = $pdo->prepare($sql);//对SQL进行预处理(编译)

            //绑定参数
            $stmt->bindParam(':user', $_POST['username']);
            $stmt->bindParam(':password', $_POST['password']);

            //执行命令
            $stmt->execute();

            if($stmt->rowCount()){
                echo "登陆成功!";  
            }else{  
                echo "您的用户名或密码输入有误,请重新登录!";  
            }

        }catch(PDOException $e){
            die($e->getMessage());
        }

    }

?>


关于预处理提升SQL效率

过去天真的以为使用PDO的预处理,因为SQL语句编译一次,相对于多条SQL语句,在连续的插入的情况下会提升效率。但在最近的试验中发现并非如此

两套复杂度相同的代码,连续插入5W条数据,在最后的执行结果并未有太大差异


 未使用预处理的代码片段

        $i=0;
        while($i < 50000){
            $user = $password = $email = mt_rand();
            $sql = "insert into users(user, password, email)values('{$user}', '{$password}', '{$email}')";
            $pdo->query($sql);
            $i++;
        }

使用预处理代码片段 

        $i=0;
        $sql = "insert into users(user, password, email)values(:user, :password, :email)";
        $stmt = $pdo->prepare($sql);
        while ($i < 50000) {
            $param['user'] = $param['password'] = $param['email'] = mt_rand();
            $stmt->execute($param);
            $i++;
        }

最终执行时间对比

未使用预处理使用预处理
[root@localhost pdo]# time php test3.php 
real 0m49.901s
user 0m0.118s
sys 0m6.046s		[root@localhost pdo]# time php test4.php 
real 0m49.101s
user 0m0.140s
sys 0m6.111s






pdo调用方法以及sql注入原理
dengjiexian123的专栏
12-24 1万+
前言 在web站点中,经常会遇到各种各样的网络攻击,其中sql注入是非常常见的一种,所以需要对sql注入进行护。 目前许多站点服务端基本采用php+mysql的方式。对应php连接mysq而言,l有三种方式:mysql扩展、mysqli、pdo。前两者不在此多说,网上有较多的学习资料。今天我们主要要讲解的是php如何通过pdo连接mysql数据库,以及为什么使用pdo连接mysql数据库具有
PHP如何防止SQL注入攻击?
破损的天堂鸟博客
07-19 1313
无论是Laravel还是cakePHP,它们都通过引入ORM框架、使用参数化查询、预处理语句以及严格的输入验证和过滤等手段,有效地防止SQL注入攻击。这些方法不仅简化了数据库操作,还提高了系统的安全性。
php防止sql注入
weixin_30262255的博客
04-28 522
【一、在服务器端配置】 安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我...
PHP常见的SQL注入方法
weixin_43741253的博客
09-22 3513
安全性很重要,也可以看出一个人基本功,项目漏洞百出,扩展性和可维护性再好也没有用。平时多留意,树立安全意识,养成一种习惯,一些基本的安全当然也不会占用 coding 的时间。养成这个习惯,即便在项目急,时间短的情况下,依然可以做的质量很高,不要等到自己以后负责的东西,数据库都被拿走了,造成损失才重视。虽然国内很多PHP程序员仍在依靠addslashes防止SQL注入,还是建议大家加强中文防止SQL注入的检查。
php如何sql注入,PHP中怎样防止SQL注入分析
weixin_28993425的博客
03-09 362
本文实例分析了PHP中怎样防止SQL注入。分享给大家供大家参考。具体分析如下:一、问题描述:  如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句,那么应用将很可能遭受到SQL注入攻击,正如下面的例子:复制代码代码如下:$unsafe_variable = $_POST['user_input'];mysql_query("INSERT INTO `table` (`column`)...
PHP使用SQL绑定变量
水浸街
08-22 2949
什么是SQL绑定变量?     百度百科的解释是:在sql语句的条件中使用变量而不是常量。比如shared pool里有两条sql语句:
sql参数绑定防止注入的原理
xdscode的博客
10-26 2039
本文主要讲述为什么拼接sql容易sql注入 , 而sql使用参数绑定可以防止sql 注入 假设我们的用户表中存在一行.用户名字段为username.值为aaa.密码字段为pwd.值为pwd… 下面我们来模拟一个用户登录的过程… <?php $username = "aaa"; $pwd = "pwd"; $sql = "SELECT * FROM table WHER...
PDO方法,SQL注入攻击
weixin_30947043的博客
06-27 100
<?php //PDO:数据访问抽象层 //dsn:数据源: //带有事务功能: $dsn = "mysql:host=localhost;dbname=mydb"; //造pdo对象 $pdo = new PDO($dsn,"root","123"); //设置为异常模式 $pdo->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_...
php防止SQL注入的最佳解决方法
10-27
总结来说,使用预编译语句和参数化查询是PHP防止SQL注入的最佳方法。它通过将SQL语句的结构与参数值的绑定分离,极大地降低了SQL注入的风险,保护了应用程序的安全。开发者应当在实际开发中充分运用这些技术,确保...
使用PHP实现防止sql注入功能1
08-08
SQL注入是一种常见的网络安全威胁,它允许攻击...总之,防止SQL注入是Web开发中的重要环节,通过正确使用PHP的`PDO`库,可以有效地提高应用程序的安全性。在实际应用中,结合其他安全措施,可以构建更健壮的御系统。
PHP实现表单提交数据的验证处理功能【SQL注入和XSS攻击等】
12-18
本文实例讲述了PHP实现表单提交数据的验证处理功能。分享给大家供大家参考,具体如下: XSS攻击代码: /** * 安全过滤函数 * * @param $string * @return string */ function safe_replace($string) { $string = str_replace(' ','',$string); $string = str_replace(''','',$string); $string = str_replace(''','',$string); $string = str_replace('*','
防止SQL注入的终极方案:PDO预处理语句与参数绑定实战.pdf
最新发布
07-28
文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿用作商业用途。 PHP——Web开发的可靠伙伴!从快速搭建动态网站到处理复杂业务逻辑,它简洁灵活...
php防止sql注入的方法详解
12-18
SQL注入是一种常见的...总之,防止SQL注入需要多层御,包括正确处理用户输入、使用预处理语句、限制数据库权限、进行输入验证以及持续更新和监控。通过这些方法,开发者可以大大降低PHP应用遭受SQL注入攻击的风险。
php中mysql参数绑定详解
xzchenxiao的专栏
10-17 9757
参数绑定详解 CDbCommand表示一个针对数据库执行的SQL语句,CDbCommand支持SQL语句预处理和参数绑定。 调用 bindParam 去绑定一个PHP变量到SQL中的一个参数。 调用 bindValue 去绑定一个值到一个SQL参数。 当绑定一个参数时,此SQL语句将自动准备好。 也可以调用prepare去明确的准备一条SQL语句。   参数形式: 1、 
PHP SQL注入
qpmglj的专栏
04-23 749
什么是SQL注入SQL注入是一种将SQL代码添加到输入参数中,传递给SQL服务器解析并执行的攻击手段。上个简单案例:这是正常mysql数据库查询语句,下面展示SQL注入的案例:select * from dept where deptno = -1 or 1 =1;这就是所谓的将SQL代码添加到输入参数中,传递给SQL服务器解析并执行,这样就可以得知你的数据库信息。攻击者可以通过SQL代码构造,达...
php多个参数绑定,自定义PHP的Mysql参数绑定执行
weixin_39781945的博客
03-10 857
PHP使用Mysql的时候觉得sql中有参数需要绑定的时候觉得比较麻烦,于是自己上网看资料做成了一个多参数传入绑定的方法,暂时可以使用了,后面会继续针对这个机制进行修缮。这个查询的时候回绑定数据库里面的字段名,查询出来的时候会是键值对的形式,作为一个后台服务,查询数据做成JSON的时候是比较好用的。/*** 执行SQL语句** @param 数据库连接 $dbLink* @param SQL语...
PHP注入攻击
Ryan Z 的技术日志
07-25 1216
纯数字的参数intval强制取整 其他参数值进行过滤或者转义 protected function zaddslashes($string, $force = 0, $strip = FALSE) { if (!defined('MAGIC_QUOTES_GPC')) { define('MAGIC_QUOTES_GP
laravel8 PDOSQL注入的形式操作
qq_34913864的博客
11-24 1212
1.采用PDOSQL注入的形式操作 public static function addData($data){ return DB::insert("insert into kao_article(title,content) values (:title,:content)",[ ':title' => $data['title'], ':content' => $data['content'] ]);
PHP】 踩扁各种坑phpstorm方能XDEBUG
花开不败
08-23 8941
PHPStorm使用Xdebug断点调试,从下班弄到深夜,期间踩遍了各种深的浅的,方的圆的各种坑,可算是搞定了。 这里写个笔记,提醒自己,也顺便当个指路明灯。 开发环境 Win10 + PHPStorm 运行环境 VMware + CentOS7 xdebug下载 https://xdebug.org/ 安装和通常的php扩展一
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值