2017-07-25 PDO预处理以及防止sql注入

其他 2019-07-25 18:04:54 阅读次数: 0

首先来看下不做任何处理的php登录,首先是HTML页面代码

<html>
    <head><title>用户登录</title></head>
    <body>
        <fieldset>
        <legend><h3>用户登录</h3></legend>
        <form action="user_login_pro.php" method="post">
        用户账号:<input type="text" name="name"><br><br>
        用户密码:<input type="password" name="password"><br><br>
        <input type="submit" value="登录">
        </form>
        </fieldset>
    </body>
</html>

其次是php处理代码:

//引入PDO连库文件
require './database/db.php';

$name = $_POST['name'];
$password = $_POST['password'];
$sql = "select * from user where name ='{$name}' and password ='{$password}'";
$res = $pdo->query($sql);
$row = $res->fetch(PDO::FETCH_ASSOC);

if($row){
 
    echo "login success";
 }else{
    echo "login error";
 }

页面效果:

 从上面的代码可见,我们输入账户名密码后,进入处理页面,与数据库作对比,如果账号密码都正确的情况之下,输出login success ,错误则输出login error。运行效果也正常,但如果我们在账户名处输入如下代码【' or 1=1 #】也会输出login success。这就是sql注入,通过一些代码改变了我们的sql语句,我们输出一次sql语句是什么样子的呢?select * from user where name ='' or 1=1 #' and password ='';可以发现这条sql语句变成了恒成立的语句,诸如此类的方式其实有很多,那么我们怎么防止sql注入呢?

1.使用pdo预处理

//1.准备预处理语句
 $sql = "select * from user where name =? and password =?";
 $res = $pdo->prepare($sql);

 //2.绑定参数
 $name = $_POST['name'];
 $password = $_POST['password'];

 $res->bindParam(1,$name);
 $res->bindparam(2,$password);

 //3.执行预处理语句
 $res->execute();


//4.转成一条结果
 $row = $res->fetch(PDO::FETCH_ASSOC);

//5.判断
if($row){
    echo "login success";
}else{
    echo "login error";
}

我们用?占位符把公共的操作部分 与 可变的数据部分相分离。根据上面的步骤执行一遍,再用 【' or 1=1 #】去测试,输出login error。成功防止。

 2.addslashes()函数转义

$name = addslashes($_POST['name']);
$password = $_POST['password'];
$sql = "select * from user where name ='{$name}' and password ='{$password}'";
//print_r($sql);die();
$res = $pdo->query($sql);
$row = $res->fetch(PDO::FETCH_ASSOC);

if($row){
 
    echo "login success";
 }else{
    echo "login error";
 }

 还用上面的sql注入,结果也是失败的。证明防止成功。addslashes() 函数在指定的预定义字符前添加反斜杠。这些字符是单引号(')、双引号(")、反斜线(\)与NUL(NULL字符)。在使用这种方式后,sql语句就变为了:select * from user where name ='\' or 1=1 #' and password ='1234567';

3.intval()

在很多时候我们要用到类似xxx.php?id=xxx这样的URL,一般来说$id都是整型变量,为了防范攻击者把$id篡改成攻击语句,我们要尽量强制变量,PHP防范SQL注入的代码$id=intval($_GET['id']);

//intval() 防止整数类型被改变
$id="abc123";
echo intval($id);

输出结果为0;可以知道intval()可以将字符串转成整数,故而可以防止整数类型被改变。 

猜你喜欢

转载自www.cnblogs.com/zhangxu-fasu/p/11245886.html
今日推荐
LFOSSA 源来如此公开课 | 掌握云原生未来:CNCF 认证全面攻略与备考秘籍
国产云输入法——仅华为无云端数据上传安全问题
开源日报 | 工业开源项目OGG 1.0;姐姐,你要和我一起配置火狐吗;苹果AI遥遥落后?Fedora 40
开放签电子签章:停止新增,优化体验,前进更进(五一假期前工作)
开源日报 | 中学生开源前端动画引擎;全球首个Llama3 8B中文版开源模型;联想电脑恐出局;Linus讽刺AI炒作
“百模大战”必有一战 | 2024中国“百模大战”竞争格局分析
周排行
Family Tree 题解
BZOJ 1093 最大半连通子图 SCC + DP
幂等处理
Spring----学习(2)----XML 配置Bean 自动装配
SQL Server 远程更新目标表数据
HIbernate3.6 环境搭建
特殊符号正则表达式
【Linux】第一章 进程的理解
843. n-皇后问题(dfs+输出各种情况)
空间数据库2
每日归档
更多
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)
2024-04-23(26)
2024-04-22(39)
2024-04-21(0)
2024-04-20(6)
2024-04-19(5)
2024-04-18(0)
2024-04-17(5)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022