PDO如何实现mysql防注入？很多新手可能对于mysql注入攻击是什么？如何防注入不是很清楚，因此这篇文章就给大家介绍一下什么是注入攻击和PHP使用PDO实现mysql防注入的方法。

        1、什么是注入攻击

        例如下例：

        前端有个提交表格：

  <form action="test.php" method="post">
    姓名：<input name="username" type="text">
    密码：<input name="password" type="password">
    <input type="submit" value="登陆">
  </form>
 

        后台的处理如下：

<?php
  $username=$_POST["username"];
  $password=$_POST["password"];
  $age=$_POST["age"];
  //连接数据库，新建PDO对象
  $pdo=new PDO("mysql:host=localhost;dbname=phpdemo","root","1234");
  
  $sql="select * from login WHERE username='{$username}' AND password='{$password}' ";
  echo $sql;
  $stmt=$pdo->query($sql);
  //rowCount()方法返回结果条数或者受影响的行数
  if($stmt->rowCount()>0){ echo "登陆成功!"};
 

        正常情况下，如果你输入姓名为小王，密码xiaowang，会登陆成功，sql语句如下：select * from login WHERE username='小王' AND password='xiaowang' 登陆成功！

        但是如果你输入姓名为 ' or 1=1 #,密码随便输一个，也会登陆成功，sql语句为：select * from login WHERE username='' or 1=1 #' AND password='xiaowang' 登陆成功！

        可以看到username='' or 1=1，#注释调了之后的password语句，由于 1=1恒成立，因此这条语句会返回大于1的结果集，从而使验证通过。

        2、使用quote过滤特殊字符，防止注入

        在sql语句前加上一行，将username变量中的‘等特殊字符过滤，可以起到防止注入的效果

//通过quote方法,返回带引号的字符串，过滤调特殊字符
$username=$pdo->quote($username);
$sql="select * from login WHERE username={$username} AND password='{$password}' ";
echo $sql;
$stmt=$pdo->query($sql);
//rowCount()方法返回结果条数或者受影响的行数
if($stmt->rowCount()>0){
  echo "登陆成功！";
};
 

        sql语句为：select * from login WHERE username='\' or 1=1 #' AND password='xiaowang'

        可以看到“'”被转义\'，并且自动为变量$username加上了引号

        3、通过预处理语句传递参数，防注入

//通过占位符:username,:password传递值，防止注入
$sql="select * from login WHERE username=:username AND password=:password";
$stmt=$pdo->prepare($sql);
//通过statement对象执行查询语句，并以数组的形式赋值给查询语句中的占位符
$stmt->execute(array(':username'=>$username,':password'=>$password));
echo $stmt->rowCount();
 

        其中的占位符也可以为？

//占位符为？
$sql="select * from login WHERE username=? AND password=?";
$stmt=$pdo->prepare($sql);
//数组中参数的顺序与查询语句中问号的顺序必须相同
$stmt->execute(array($username,$password));
echo $stmt->rowCount();

        4、通过bind绑定参数

        bindParam()方法绑定一个变量到查询语句中的参数：  

$sql="insert login(username,password,upic,mail) values(:username,:password,:age,:mail)";
$stmt=$pdo->prepare($sql);
//第三个参数可以指定参数的类型PDO::PARAM_STR为字符串，PDO::PARAM_INT为整型数
$stmt->bindParam(":username",$username,PDO::PARAM_STR);
$stmt->bindParam(":password",$password,PDO::PARAM_STR);
$stmt->bindParam(":age",$age,PDO::PARAM_INT);
//使用bindValue()方法绑定一个定值
$stmt->bindValue(":mail",'default@qq.com');
$stmt->execute();
echo $stmt->rowCount();

 

        使用问号做占位符：

$sql="insert login(username,password,mail) values(?,?,?)";//注意不是中文状态下的问号？ 
$stmt=$pdo->prepare($sql); //按照?的顺序绑定参数值 
$stmt->bindParam(1,$username); 
$stmt->bindParam(2,$password); 
$stmt->bindValue(3,'default@qq.com'); 
$stmt->execute(); 
echo $stmt->rowCount();
 

        使用其中bindValue()方法给第三个占位符绑定一个常量'default@qq.com'，它不随变量的变化而变化。

        bindColumn()方法绑定返回结果集的一列到变量：   

$sql='SELECT * FROM user';
$stmt=$pdo->prepare($sql);
$stmt->execute();
$stmt->bindColumn(2,$username);
$stmt->bindColumn(4,$email);
while($stmt->fetch(PDO::FETCH_BOUND)){
  echo '用户名：'.$username.",邮箱：".$email.'<hr/>';
}

        关于pdo实现mysql防注入的方法就分享到这里了，希望以上内容可以对大家有一定的帮助，可以学到更多知识。如果还想要了解更多pdo mysql防注入，可以浏览其他相关文章。

        文本转载自脚本之家

免责声明：本站发布的内容（图片、视频和文字）以原创、转载和分享为主，文章观点不代表本网站立场，如果涉及侵权请联系站长邮箱：mmqy2019@163.com进行举报，并提供相关证据，查实之后，将立刻删除涉嫌侵权内容。

猜你喜欢

• laravel自带命令的实现方法及过程是什么

  php laravel框架自带命令的实现：1、作为服务提供者加载到程序中，laravel自带的artisan命令；2、然后找到 Up/Down命令入口；3、DownCommand实现，关键在当前存储目录/framework 下面创建。

• PHP匿名函数如何定义使用，其本质如何理解

  今天来给大家详细介绍下php匿名函数怎么使用的教程，php匿名函数的本质是对象，因此跟对象一样可将匿名函数赋值给某一变量。详情内容请看以下爱站技术频道小编所整理的资料吧！

• 基于PHP怎样写一个简单的投票系统？

  基于PHP怎样写一个简单的投票系统？下文的讲解详细，步骤过程清晰，对大家进一步学习和理解相关知识有一定的帮助。有这方面学习需要的朋友就继续往下看吧！

• 在PHP中Carbon的用法及用处是什么

  本篇文章主要给大家介绍了关于PHP的相关知识，Carbon 是php的日期处理类库（A simple PHP API extension for DateTime.），继承了PHP的 Datetime 类，下面讲解一下该类的使用，希望对大家有帮助。

• php怎么样写字符串和16进制的转换？

  我们在日常的计算机编程和学习中，往往会遇到进制转换，所谓进制转化，简单的理解就是将一种进制的数字转换为另一种进制的数字。这篇文章就给大家分享一下PHP字符串和十六进制的互相转换，通常我们在调用别网站接口时，要对字符串进行16进制加密处理。