记录一下学习PDO技术防范SQL注入的方法
最近学习了使用PDO技术防范SQL注入的方法,在博客里当作一次笔记。若果有新的感悟在来添上一笔,毕竟也是刚开始学习。
1、 什么是PDOphp
PDO全名PHP Data Object PHP 数据对象 (PDO) 扩展为PHP访问数据库定义了一个轻量级的一致接口。 PDO 提供了一个数据访问抽象层,这意味着,无论使用哪一种数据库,均可以用相同的函数(方法)来查询和获取数据。
2、如何去使用PDO防范SQL注入?
/
防范sql注入这里使用quote()方法过滤特殊字符和经过预处理的一些方式以及bindParameter()方法绑定参数来防止SQL注入
/
3、 使用quate()方法防止sql注入。html
Quate()方法返回带引号的字符串,过滤特殊字符
一、首先建立一个登录界面来提交用户名和密码。mysql
</!DOCTYPE html>
<html>
<head>
<title></title>
</head>
<body>
<form action="doAction1.php" method="post">
<input type="text" name="username"></br>
<input type="password" name="password"></br>
<input type="submit" name="submit">
</form>
</body>
</html>
二、而后建立后台处理PHP文件,获取用户名和密码,并在数据库中查询。基本的查询方法来查询。sql
<?php
header('content-type=text/html;charset=utf-8');
$username=$_POST['username'];
$password=$_POST['password'];
try{
$pdo=new PDO('mysql:host=localhost;dbname=pdotest','root','123');
$sql="select * from user where name=‘{$username}’ and password=‘{$password}’";
echo $sql."</br>";
$row=$pdo->query($sql);
foreach ($row as $key => $value) {
print_r($value);
}
}catch(POOException $e){
echo $e->getMessage();
}
这个处理界面是由SQL注入的界面。
三、咱们来测试一下
(1)在文本框中输入正确的用户名和密码,返回正常的信息
可是当咱们进行注入的时候,返回的信息:
(2)用户名输入’ or 1=1 #,密码随便输入
将数据库中的用户信息以数组的形式所有显示了出来。
(3)咱们在数据库中执行这串查询语句
能够看到,数据库照常显示,这也是sql注入一个很大的危害。
四、接下来咱们经过quote()方法来防止SQL注入
经过如下代码,将new的对象$pdo经过调用quote()方法来从新返回用户输入的字符串,而后在经过查询语句,去查询数据库中的数据。数据库
<?php
header('content-type=text/html;charset=utf-8');
$username=$_POST['username'];
$password=$_POST['password'];
try{
$pdo=new PDO('mysql:host=localhost;dbname=pdotest','root','123');
$username=$pdo->quote($username);
$password=$pdo->quote($password);
$sql="select * from user where name='{$username}' and password='{$password}'";
echo $sql."</br>";
$row=$pdo->query($sql);
foreach ($row as $key => $value) {
print_r($value);
}
}catch(POOException $e){
echo $e->getMessage();
}
五、咱们来使用一样的方法来测试一下能不能防范sql注入呢?
(1)正确用户名和正确密码验证:
(2)正确用户名和错误密码访问
查询不到数据
(3)使用sql注入:
查询失败,咱们能够清楚的看到咱们输入的引号在前面自动的加上了‘\’,将引号给转义,失去了原来的做用。
(4)同时咱们在数据库中执行一下这个语句。
查询出错。因此quote()方法可以有效的防止sql注入
4、 使用预处理语句防止SQL注入
预处理语句中占位符形式来防止SQL注入。占位符有两种形式,一种是经过命名参数,另外一种是经过问好占位符的形式
一、经过命名参数防止注入
(1)首先在原来基础的源码上改正查询语句。改成:
Select * from where name=:username and password=:password
整个源码:数组
<?php
header('content-type:text/html;charset=utf-8');
$username=$_POST['username'];
$password=$_POST['password'];
try{
$pdo=new PDO('mysql:host=localhost;dbname=pdotest','root','123');
$sql='select * from user where name=:username and password=:password';
$stmt=$pdo->prepare($sql);
$stmt->execute(array(":username"=>$username,":password"=>$password));
echo $stmt->rowCount();
}catch(PDOException $e){
echo $e->getMessage();
}
?>
解释:
a):命名用户名参数:username密码:password。
b):经过调用rowCount()方法,查看返回受sql语句影响的行数,返回0语句执行失败,大于等于1,语句执行成功。
测试:
(1)正常访问:用户名zhangsan,密码:123
(2)错误密码访问:
(3)Sql注入语句访问:
防止注入失败ide
二、经过问号(?)占位符防止注入
(1)修改sql查询语句:
Select * from user where name=? and password=?
完整代码:函数
<?
header('content-type:text/html;charset=utf-8');
$username=$_POST['username'];
$password=$_POST['password'];
try{
$pdo=new PDO('mysql:host=localhost;dbname=pdotest','root','123');
$sql="select * from user where name=? and password=?";
$stmt=$pdo->prepare($sql);
$stmt->execute(array($username,$password));
echo $stmt->rowCount();
}catch(PDOException $e){
echo $e->getMessage();
}
?>
解释:经过execute()方法直接传递数组array($username,$password)给sql语句查询。
测试:
(1)正常访问:用户名:lisi,密码:abc
(2)错误用户名或密码访问
(3)Sql注入:
注入失败
5、 经过bindParam()方法绑定参数防护SQL注入。post
<?php
header('content-type:text/html;charset=utf-8');
$username=$_POST['username'];
$password=$_POST['password'];
try{
$pdo=new PDO('mysql:host=localhost;dbname=pdotest','root','123');
$sql='select * from user where name=:username and password=:password';
$stmt=$pdo->prepare($sql);
$stmt->bindParam(":username",$username,PDO::PARAM_STR);
$stmt->bindParam(":password",$password,PDO::PARAM_STR);
$stmt->execute();
echo $stmt->rowCount();
}catch(PDOException $e){
echo $e->getMessage();
}
?>
(1)关键代码:
$stmt->bindParam(":username",$username,PDO::PARAM_STR);
$stmt->bindParam(":password",$password,PDO::PARAM_STR);学习
解释:
a)::username和:password为命名参数
b):$username;$password为获取的变量,即用户名和密码。
c):PDO::PARAM_STR,表示参数变量的值必定要为字符串,即绑定参数类型为字符串。在bindparam()方法中,默认绑定的参数类型就是字符串。当你要接受×××的时候能够绑定参数为PDO::PARAM_INT.
测试:
(1)正常访问测试:
(2)测试sql注入:
当作是一个笔记吧还有不少的知识点没有写出来,之后再慢慢补充吧!!!
- 1. PHP PDO 防止SQL注入
- 2. Sql注入详解及防范方法
- 3. PDO技术--学习笔记
- 4. PHP 之 pdo防止Sql注入
- 5. PDO防sql注入原理分析
- 6. SQL注入学习记录 CTFHub SQL注入 字符型注入
- 7. SQL注入学习记录 CTFHub SQL注入 整数型注入
- 8. PHP+MYSQL防范SQL注入
- 9. SQL注入以及防范
- 10. PDO防注入的一点积累
- 更多相关文章...
- • 我们已经学习了 SQL,下一步学习什么呢? - SQL 教程
- • 您已经学习了 XML Schema,下一步学习什么呢? - XML Schema 教程
- • Tomcat学习笔记(史上最全tomcat学习笔记)
- • Kotlin学习(一)基本语法
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Window下Ribbit MQ安装
- 2. Linux下Redis安装及集群搭建
- 3. shiny搭建网站填坑战略
- 4. Mysql8.0.22安装与配置详细教程
- 5. Hadoop安装及配置
- 6. Python爬虫初学笔记
- 7. 部署LVS-Keepalived高可用集群
- 8. keepalived+mysql高可用集群
- 9. jenkins 公钥配置
- 10. HA实用详解
- 1. PHP PDO 防止SQL注入
- 2. Sql注入详解及防范方法
- 3. PDO技术--学习笔记
- 4. PHP 之 pdo防止Sql注入
- 5. PDO防sql注入原理分析
- 6. SQL注入学习记录 CTFHub SQL注入 字符型注入
- 7. SQL注入学习记录 CTFHub SQL注入 整数型注入
- 8. PHP+MYSQL防范SQL注入
- 9. SQL注入以及防范
- 10. PDO防注入的一点积累