PHP中怎么实现mysql防注入功能

发布时间:2021-08-07 15:43:32 作者:Leah
来源:亿速云 阅读:259

这期内容当中小编将会给大家带来有关PHP中怎么实现mysql防注入功能,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。

1、什么是注入攻击

前端有个提交表格:

<form action="test.php" method="post">    姓名:<input name="username" type="text">    密码:<input name="password" type="password">    <input type="submit" value="登陆">  </form>

后台的处理如下:

<?php  $username=$_POST["username"];  $password=$_POST["password"];  $age=$_POST["age"];  //连接数据库,新建PDO对象  $pdo=new PDO("mysql:host=localhost;dbname=phpdemo","root","1234");  $sql="select * from login WHERE username='{$username}' AND password='{$password}' ";  echo $sql;  $stmt=$pdo->query($sql);  //rowCount()方法返回结果条数或者受影响的行数  if($stmt->rowCount()>0){ echo "登陆成功!"};

正常情况下,如果你输入姓名为小王,密码xiaowang,会登陆成功,sql语句如下:select * from login WHERE username='小王' AND password='xiaowang' 登陆成功!

但是如果你输入姓名为 ' or 1=1 #,密码随便输一个,也会登陆成功,sql语句为:select * from login WHERE username='' or 1=1 #' AND password='xiaowang' 登陆成功!

可以看到username='' or 1=1,#注释调了之后的password语句,由于 1=1恒成立,因此这条语句会返回大于1的结果集,从而使验证通过。

2、使用quote过滤特殊字符,防止注入

在sql语句前加上一行,将username变量中的‘等特殊字符过滤,可以起到防止注入的效果

//通过quote方法,返回带引号的字符串,过滤调特殊字符$username=$pdo->quote($username);$sql="select * from login WHERE username={$username} AND password='{$password}' ";echo $sql;$stmt=$pdo->query($sql);//rowCount()方法返回结果条数或者受影响的行数if($stmt->rowCount()>0){  echo "登陆成功!";};

sql语句为:select * from login WHERE username='\' or 1=1 #' AND password='xiaowang'

可以看到“'”被转义\',并且自动为变量$username加上了引号

3、通过预处理语句传递参数,防注入

//通过占位符:username,:password传递值,防止注入$sql="select * from login WHERE username=:username AND password=:password";$stmt=$pdo->prepare($sql);//通过statement对象执行查询语句,并以数组的形式赋值给查询语句中的占位符$stmt->execute(array(':username'=>$username,':password'=>$password));echo $stmt->rowCount();

其中的占位符也可以为?

//占位符为?$sql="select * from login WHERE username=? AND password=?";$stmt=$pdo->prepare($sql);//数组中参数的顺序与查询语句中问号的顺序必须相同$stmt->execute(array($username,$password));echo $stmt->rowCount();

4、通过bind绑定参数

bindParam()方法绑定一个变量到查询语句中的参数:

$sql="insert login(username,password,upic,mail) values(:username,:password,:age,:mail)";$stmt=$pdo->prepare($sql);//第三个参数可以指定参数的类型PDO::PARAM_STR为字符串,PDO::PARAM_INT为整型数$stmt->bindParam(":username",$username,PDO::PARAM_STR);$stmt->bindParam(":password",$password,PDO::PARAM_STR);$stmt->bindParam(":age",$age,PDO::PARAM_INT);//使用bindValue()方法绑定一个定值$stmt->bindValue(":mail",'default@qq.com');$stmt->execute();echo $stmt->rowCount();

使用问号做占位符:

$sql="insert login(username,password,mail) values(?,?,?)";//注意不是中文状态下的问号?$stmt=$pdo->prepare($sql); //按照?的顺序绑定参数值$stmt->bindParam(1,$username);$stmt->bindParam(2,$password);$stmt->bindValue(3,'default@qq.com');$stmt->execute();echo $stmt->rowCount();

使用其中bindValue()方法给第三个占位符绑定一个常量'default@qq.com',它不随变量的变化而变化。

bindColumn()方法绑定返回结果集的一列到变量:

$sql='SELECT * FROM user';$stmt=$pdo->prepare($sql);$stmt->execute();$stmt->bindColumn(2,$username);$stmt->bindColumn(4,$email);while($stmt->fetch(PDO::FETCH_BOUND)){  echo '用户名:'.$username.",邮箱:".$email.'<hr/>';}

上述就是小编为大家分享的PHP中怎么实现mysql防注入功能了,如果刚好有类似的疑惑,不妨参照上述分析进行理解。如果想知道更多相关知识,欢迎关注亿速云行业资讯频道。

推荐阅读:
  1. php登陆表单防注入练习
  2. php mysql实现点赞功能的步骤

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

php mysql

上一篇:怎么用golang和PHP输出excel

下一篇:如何解决某些HTML字符打不出来的问题

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》