本文實例講述了PHP使用PDO實現mysql防注入功能����。分享給大家供大家參考����,具體如下:
1���、什么是注入攻擊
例如下例:
前端有個提交表格:
form action="test.php" method="post">
姓名:input name="username" type="text">
密碼:input name="password" type="password">
input type="submit" value="登陸">
/form>
后臺的處理如下:
?php
$username=$_POST["username"];
$password=$_POST["password"];
$age=$_POST["age"];
//連接數據庫�����,新建PDO對象
$pdo=new PDO("mysql:host=localhost;dbname=phpdemo","root","1234");
$sql="select * from login WHERE username='{$username}' AND password='{$password}' ";
echo $sql;
$stmt=$pdo->query($sql);
//rowCount()方法返回結果條數或者受影響的行數
if($stmt->rowCount()>0){ echo "登陸成功!"};
正常情況下����,如果你輸入姓名為小王��,密碼xiaowang���,會登陸成功�,sql語句如下:select * from login WHERE username='小王' AND password='xiaowang' 登陸成功���!
但是如果你輸入姓名為 ' or 1=1 #,密碼隨便輸一個��,也會登陸成功�,sql語句為:select * from login WHERE username='' or 1=1 #' AND password='xiaowang' 登陸成功!
可以看到username='' or 1=1��,#注釋調了之后的password語句�����,由于 1=1恒成立��,因此這條語句會返回大于1的結果集�����,從而使驗證通過�。
2�、使用quote過濾特殊字符,防止注入
在sql語句前加上一行�,將username變量中的‘等特殊字符過濾�����,可以起到防止注入的效果
//通過quote方法,返回帶引號的字符串,過濾調特殊字符
$username=$pdo->quote($username);
$sql="select * from login WHERE username={$username} AND password='{$password}' ";
echo $sql;
$stmt=$pdo->query($sql);
//rowCount()方法返回結果條數或者受影響的行數
if($stmt->rowCount()>0){
echo "登陸成功����!";
};
sql語句為:select * from login WHERE username='\' or 1=1 #' AND password='xiaowang'
可以看到“'”被轉義'���,并且自動為變量$username加上了引號
3��、通過預處理語句傳遞參數,防注入
//通過占位符:username,:password傳遞值�,防止注入
$sql="select * from login WHERE username=:username AND password=:password";
$stmt=$pdo->prepare($sql);
//通過statement對象執行查詢語句�����,并以數組的形式賦值給查詢語句中的占位符
$stmt->execute(array(':username'=>$username,':password'=>$password));
echo $stmt->rowCount();
其中的占位符也可以為?
//占位符為�?
$sql="select * from login WHERE username=? AND password=?";
$stmt=$pdo->prepare($sql);
//數組中參數的順序與查詢語句中問號的順序必須相同
$stmt->execute(array($username,$password));
echo $stmt->rowCount();
4�����、通過bind綁定參數
bindParam()方法綁定一個變量到查詢語句中的參數:
$sql="insert login(username,password,upic,mail) values(:username,:password,:age,:mail)";
$stmt=$pdo->prepare($sql);
//第三個參數可以指定參數的類型PDO::PARAM_STR為字符串,PDO::PARAM_INT為整型數
$stmt->bindParam(":username",$username,PDO::PARAM_STR);
$stmt->bindParam(":password",$password,PDO::PARAM_STR);
$stmt->bindParam(":age",$age,PDO::PARAM_INT);
//使用bindValue()方法綁定一個定值
$stmt->bindValue(":mail",'default@qq.com');
$stmt->execute();
echo $stmt->rowCount();
使用問號做占位符:
$sql="insert login(username,password,mail) values(?,?,?)";//注意不是中文狀態下的問號�?
$stmt=$pdo->prepare($sql); //按照?的順序綁定參數值
$stmt->bindParam(1,$username);
$stmt->bindParam(2,$password);
$stmt->bindValue(3,'default@qq.com');
$stmt->execute();
echo $stmt->rowCount();
使用其中bindValue()方法給第三個占位符綁定一個常量'default@qq.com'�,它不隨變量的變化而變化��。
bindColumn()方法綁定返回結果集的一列到變量:
$sql='SELECT * FROM user';
$stmt=$pdo->prepare($sql);
$stmt->execute();
$stmt->bindColumn(2,$username);
$stmt->bindColumn(4,$email);
while($stmt->fetch(PDO::FETCH_BOUND)){
echo '用戶名:'.$username.",郵箱:".$email.'hr/>';
}
更多關于PHP相關內容感興趣的讀者可查看本站專題:《PHP基于pdo操作數據庫技巧總結》��、《php+mysqli數據庫程序設計技巧總結》��、《php面向對象程序設計入門教程》���、《php字符串(string)用法總結》�����、《php+mysql數據庫操作入門教程》及《php常見數據庫操作技巧匯總》
希望本文所述對大家PHP程序設計有所幫助。
您可能感興趣的文章:- PHP PDO預處理語句及事務的使用
- PHP如何初始化PDO及原始SQL語句操作
- PHP中PDO關閉連接的方法問題
- PHP使用PDO 連接與連接管理操作實例分析
- php+pdo實現的購物車類完整示例
- PHP PDO和消息隊列的個人理解與應用實例分析
- php pdo連接數據庫操作示例
- PHP連接MySQL數據庫的三種方式實例分析【mysql、mysqli�、pdo】
- PHP使用PDO創建MySQL數據庫�����、表及插入多條數據操作示例
- php如何用PDO操作大數據對象
