亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

PHP中怎么實現mysql防注入功能

發布時間:2021-08-07 15:43:32 來源:億速云 閱讀:259 作者:Leah 欄目:編程語言

這期內容當中小編將會給大家帶來有關PHP中怎么實現mysql防注入功能,文章內容豐富且以專業的角度為大家分析和敘述,閱讀完這篇文章希望大家可以有所收獲。

1、什么是注入攻擊

前端有個提交表格:

<form action="test.php" method="post">    姓名:<input name="username" type="text">    密碼:<input name="password" type="password">    <input type="submit" value="登陸">  </form>

后臺的處理如下:

<?php  $username=$_POST["username"];  $password=$_POST["password"];  $age=$_POST["age"];  //連接數據庫,新建PDO對象  $pdo=new PDO("mysql:host=localhost;dbname=phpdemo","root","1234");  $sql="select * from login WHERE username='{$username}' AND password='{$password}' ";  echo $sql;  $stmt=$pdo->query($sql);  //rowCount()方法返回結果條數或者受影響的行數  if($stmt->rowCount()>0){ echo "登陸成功!"};

正常情況下,如果你輸入姓名為小王,密碼xiaowang,會登陸成功,sql語句如下:select * from login WHERE username='小王' AND password='xiaowang' 登陸成功!

但是如果你輸入姓名為 ' or 1=1 #,密碼隨便輸一個,也會登陸成功,sql語句為:select * from login WHERE username='' or 1=1 #' AND password='xiaowang' 登陸成功!

可以看到username='' or 1=1,#注釋調了之后的password語句,由于 1=1恒成立,因此這條語句會返回大于1的結果集,從而使驗證通過。

2、使用quote過濾特殊字符,防止注入

在sql語句前加上一行,將username變量中的‘等特殊字符過濾,可以起到防止注入的效果

//通過quote方法,返回帶引號的字符串,過濾調特殊字符$username=$pdo->quote($username);$sql="select * from login WHERE username={$username} AND password='{$password}' ";echo $sql;$stmt=$pdo->query($sql);//rowCount()方法返回結果條數或者受影響的行數if($stmt->rowCount()>0){  echo "登陸成功!";};

sql語句為:select * from login WHERE username='\' or 1=1 #' AND password='xiaowang'

可以看到“'”被轉義\',并且自動為變量$username加上了引號

3、通過預處理語句傳遞參數,防注入

//通過占位符:username,:password傳遞值,防止注入$sql="select * from login WHERE username=:username AND password=:password";$stmt=$pdo->prepare($sql);//通過statement對象執行查詢語句,并以數組的形式賦值給查詢語句中的占位符$stmt->execute(array(':username'=>$username,':password'=>$password));echo $stmt->rowCount();

其中的占位符也可以為?

//占位符為?$sql="select * from login WHERE username=? AND password=?";$stmt=$pdo->prepare($sql);//數組中參數的順序與查詢語句中問號的順序必須相同$stmt->execute(array($username,$password));echo $stmt->rowCount();

4、通過bind綁定參數

bindParam()方法綁定一個變量到查詢語句中的參數:

$sql="insert login(username,password,upic,mail) values(:username,:password,:age,:mail)";$stmt=$pdo->prepare($sql);//第三個參數可以指定參數的類型PDO::PARAM_STR為字符串,PDO::PARAM_INT為整型數$stmt->bindParam(":username",$username,PDO::PARAM_STR);$stmt->bindParam(":password",$password,PDO::PARAM_STR);$stmt->bindParam(":age",$age,PDO::PARAM_INT);//使用bindValue()方法綁定一個定值$stmt->bindValue(":mail",'default@qq.com');$stmt->execute();echo $stmt->rowCount();

使用問號做占位符:

$sql="insert login(username,password,mail) values(?,?,?)";//注意不是中文狀態下的問號?$stmt=$pdo->prepare($sql); //按照?的順序綁定參數值$stmt->bindParam(1,$username);$stmt->bindParam(2,$password);$stmt->bindValue(3,'default@qq.com');$stmt->execute();echo $stmt->rowCount();

使用其中bindValue()方法給第三個占位符綁定一個常量'default@qq.com',它不隨變量的變化而變化。

bindColumn()方法綁定返回結果集的一列到變量:

$sql='SELECT * FROM user';$stmt=$pdo->prepare($sql);$stmt->execute();$stmt->bindColumn(2,$username);$stmt->bindColumn(4,$email);while($stmt->fetch(PDO::FETCH_BOUND)){  echo '用戶名:'.$username.",郵箱:".$email.'<hr/>';}

上述就是小編為大家分享的PHP中怎么實現mysql防注入功能了,如果剛好有類似的疑惑,不妨參照上述分析進行理解。如果想知道更多相關知識,歡迎關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

长泰县| 石门县| 泌阳县| 泾源县| 临海市| 丰镇市| 成都市| 甘洛县| 孝感市| 松溪县| 宜兰市| 墨玉县| 灌南县| 麦盖提县| 高碑店市| 金塔县| 稷山县| 昭通市| 大同县| 高台县| 吕梁市| 个旧市| 深泽县| 广南县| 望谟县| 斗六市| 孝义市| 池州市| 葫芦岛市| 万载县| 福泉市| 巴马| 镇康县| 彭州市| 德化县| 调兵山市| 巨鹿县| 昌吉市| 尉氏县| 西丰县| 兴文县|