php 使用PDO，防止sql注入簡單說明

2024-07-21 02:52:55

字體：大中小

來源：轉(zhuǎn)載

供稿：網(wǎng)友

PDO：php5

假如以下是一個簡單的登錄處理：

使用PDO連接MySQL首先：

新建數(shù)據(jù)庫

new PDO("mysql:host=localhost;dbname=test","root","root");

host:服務(wù)器 dbname:數(shù)據(jù)庫名后面兩個分別是帳號和密碼默認(rèn)不是長連接

如果想使用長連接需要在后面加入?yún)?shù)：

new PDO("mysql:host=host;dbname=name","user","pw","array(PDO::ATTR_PERSISTENT => true) ");

看如下簡單示例，在這里是單獨(dú)說明，所以我沒有加其他的東西：

<?php //接收前端傳過來的變量 $name=$_POST['username']; $pwd=$_POST['passWord']; //這里新建PDO連接，在這里我是本地測試的所以host我使用了localhost 數(shù)據(jù)庫名為test，帳號為root密碼也是root $stmt = new PDO("mysql:host=localhost;dbname=test","root","root"); //使用PRepare進(jìn)行預(yù)處理，其中:name和:pwd是我們等下要傳入的變量值，這些都是占位符 $stmt = $stmt->prepare('SELECT * FROM user1 WHERE user1 = :name and pw1 = :pwd'); //以上的準(zhǔn)備都做好了之后，我們使用execute()方法負(fù)責(zé)執(zhí)行準(zhǔn)備好的查詢 //該方法需要有每次迭代執(zhí)行中替換的輸入?yún)?shù)，在這里就是:name和:pwd 作為數(shù)組將值傳遞給方法 //從而值替換掉其中占位符 //當(dāng)然也可以使用bindParam，但是我還是喜歡這種簡單的方式，畢竟人懶 $stmt->execute(array('name' => $name,'pwd'=>$pwd)); while ($row = $stmt->fetch()) { print_r($row); }

注釋已經(jīng)說明了要說的內(nèi)容，最后面使用while輸出查詢到的值，這樣就可以防止sql注入，如果不行，那么請自行測試，輸入如：’ or 1=1# 我們看我們的’ or 1=1#，如果我們的name輸入的是’ or 1=1#，注意 ’ or 1=1# 前面有一個單引號，那么如果我們的sql語句本是如下：

SELECT * FROM user1 WHERE user1='123' AND pw1='234'

把user1的值改為了 ’ or 1=1# 后。變成了

SELECT * FROM user1 WHERE user1='' OR 1=1# and pw1='234'

其中由于sql中#代表：到此結(jié)束，那么說明后面的：and pw1=’234’都將無效，那么我們的sql語句就等于變成了如下語句：

SELECT * FROM user1 WHERE user1='' OR 1=1

由于1=1是肯定成立的，那么此句sql語句中的where條件將會永遠(yuǎn)正確，此時，語句變成或者說就等于了如下語句：

SELECT * FROM user1 WHERE TRUE

或者說：

SELECT * FROM user1

那么就會登錄成功，繞過了此次登錄。

上一篇：php擴(kuò)展mongo數(shù)據(jù)庫

下一篇：FCKeditor2.3 For PHP 詳細(xì)整理的使用參考