使用PDO防御sql注入

其他 2020-02-22 12:14:24 阅读次数: 0

使用转移函数或者黑名单都还是有一定的风险,防御sql注入比较好的办法还是pdo,pdo不会将用户输入与sql语句拼接,从原理上防御了sql注入

//pdo防御sql注入
//某登陆页面部分代码
    $dbh = new PDO("mysql:host=localhost;dbname=user;charset=utf8","root","root");//实例化pdo对象
    //php5.3.6及以前版本中,并不支持在DSN中的charset定义,而应该使用set names ...
    $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES,false);//禁止PHP本地转义而交由MySQL Server转义
    $sql = "select * from admin where admin=? and password=?";
    $stmt = $dbh->prepare($sql);//对请求mysql的sql语句用占位符的方式做预处理。该sql传入prepare函数后,预处理函数就会得到本次查询语句的sql模板类,并将这个模板类返回。
    $stmt->bindParam(1,$_html['admin']);//绑定查询参数
    $stmt->bindParam(2,$_html['password']);
    $stmt->execute();//执行语句
    $result = $stmt->fetchAll();//返回包含所有结果集行的数组
    if(!!$result){
       setcookie('login',md5($_rows['admin']));
       $_SESSION['user']=md5($_rows['admin']);
       header('location:index.php');
 }else{
  echo "登陆信息错误";
 }
_slience
发布了27 篇原创文章 · 获赞 8 · 访问量 8267
私信 关注

猜你喜欢

转载自blog.csdn.net/weixin_41652128/article/details/90238609
今日推荐
富文本编辑器 Quill 2.0 重磅发布,特性、可靠性与开发者体验大幅提升
“开源信徒”周鸿祎开源360智脑大模型
周排行
Ubuntu 14.04 下Fuel6.0安装部署
香港一小巴侧翻致1死16伤 警方:未见机件故障
pikachu--XSS盲打
阅读 深入理解JVM虚拟机笔记一
java.sql.SQLException: ORA-00932: 数据类型不一致: 应为 -, 但却获得 CLOB
oracle delete all object under an user
[LeetCode]20 Valid Parentheses 有效的括号
树形DP求树的直径 【模板】
Context propagation over HTTP in Go
【PAT】(B)1053 住房空置率 (20)*
每日归档
更多
2024-04-18(0)
2024-04-17(5)
2024-04-16(70)
2024-04-15(42)
2024-04-14(0)
2024-04-13(119)
2024-04-12(38)
2024-04-11(14)
2024-04-10(68)
2024-04-09(5)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022