PDO预处理语句规避SQL注入攻击
所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。
第一种方法
<?php
$dsn = "mysql:dbname=study;host=localhost";
$pdo = new PDO($dsn,"root","root"); //写一个预处理语句
$sql = "insert into class values(?,?)";
//将预处理语句扔到服务器等待执行,返回PDOStatement对象
$stm = $pdo->prepare($sql);
//第二次将变量(参数)扔到服务器的SQL语句相应位置,给预处理语句绑定参数
$stm->bindParam(1,$Sclass);
$stm->bindParam(2,$cla);
$Sclass = "7";
$cla = "七班";
//执行
$stm->execute();
第一种方法简写
<?php
$dsn = "mysql:dbname=study;host=localhost";
$pdo = new PDO($dsn,"root","root"); //写一个预处理语句
$sql = "insert into class values(?,?)";
//将预处理语句扔到服务器等待执行,返回PDOStatement对象
$stm = $pdo->prepare($sql);
//定义索引数组
$arr = array("8","八班");
//执行
$stm->execute($arr);
第二种方法
<?php
$dsn = "mysql:dbname=study;host=localhost";
$pdo = new PDO($dsn,"root","root");
//预处理语句
$sql = "insert into class VALUES (:Sclass,:cla)";
$stm = $pdo->prepare($sql); //造一个数组
$arr = array("Sclass"=>"10","cla"=>"十班"); //执行
$stm->execute($arr);
举例,第二种情况简单,建议应用第二种方法
<body xmlns="http://www.w3.org/1999/html">
<h1>添加数据</h1>
<form action="pdoycl5.php" method="post"/>
<div>代号:<input type="text" name="Sclass"> </div>
<div>班级:<input type="text" name="cla"> </div>
<input type="submit" value="添加">
</form>
</body>
<?php
$dsn = "mysql:dbname=study;host=localhost";
$pdo = new PDO($dsn,"root","root");
//预处理语句
$sql = "insert into class VALUES (:Sclass,:cla)";
$stm = $pdo->prepare($sql);
//执行
$stm->execute($_POST);
PDO预处理语句规避SQL注入攻击的更多相关文章
- MySQL pdo预处理能防止sql注入的原因
MySQL pdo预处理能防止sql注入的原因: 1.先看预处理的语法 $pdo->prepare('select * from biao1 where id=:id'); $pdo->e ...
- 2017-07-25 PDO预处理以及防止sql注入
首先来看下不做任何处理的php登录,首先是HTML页面代码 <html> <head><title>用户登录</title></head> ...
- php pdo预处理语句与存储过程
很多更成熟的数据库都支持预处理语句的概念.什么是预处理语句?可以把它看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制.预处理语句可以带来两大好处: 1.查询仅需解析(或预处理) ...
- php安全编程—sql注入攻击
php安全编程--sql注入攻击 定义 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因 ...
- PHP PDO 预处理语句与存储过程
很多更成熟的数据库都支持预处理语句的概念. 什么是预处理语句?可以把它看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制.预处理语句可以带来两大好处: 查询仅需解析(或预处理)一 ...
- 实例讲解 SQL 注入攻击
这是一篇讲解SQL注入的实例文章,一步一步跟着作者脚步探索如何注入成功,展现了一次完整的渗透流程,值得一读.翻译水平有限,见谅! 一位客户让我们针对只有他们企业员工和顾客能使用的企业内网进行渗透测试. ...
- ADO。Net(二)——防止SQL注入攻击
规避SQL注入 如果不规避,在黑窗口里面输入内容时利用拼接语句可以对数据进行攻击 如:输入Code值 p001' union select * from Info where '1'='1 //这样可 ...
- ADO.Net——防止SQL注入攻击
规避SQL注入 如果不规避,在黑窗口里面输入内容时利用拼接语句可以对数据进行攻击 如:输入Code值 p001' union select * from Info where '1'='1 //这样可 ...
- day40:python操作mysql:pymysql模块&SQL注入攻击
目录 part1:用python连接mysql 1.用python连接mysql的基本语法 2.用python 创建&删除表 3.用python操作事务处理 part2:sql注入攻击 1.s ...
随机推荐
- Violin 琴弦介绍
共四根弦,从粗到细: 第四弦:音名:G:唱名:Sol 第三弦:音名:D:唱名:Re 第二弦:音名:A:唱名:La 第一弦:音名:E:唱名:Mi
- 在 AngularJS 中将 XML 转换为 JSON
在这篇文章中,我们将谈谈如何在Angular JS中将XML文件转换为JSON.大家都知道Angular JS是开发应用程序的JavaScript框架.所以基本上Angular JS期望得 到的响应 ...
- MySQL主从同步校验与重新同步
主从复制环境中,可能有种种原因导致主.从库数据不一致的情况,主从一致性也一直是DBA需要关注的问题,校验MySQL的主从一致性一般有多种工具,诸如MySQL自带的checksum.mysqldiff. ...
- 编译安装mysql-server5.6.32手记
起因: CentOS内置源里面默认安装的Mysql-server太老旧,不支持一些新方法的调用,需要重新安装一个新版本 老版本里面有数据,不想卸载,想保留库和软件本身 机器上没有运行Docker,而且 ...
- Velocity教程
Velocity 语法(转) 一.基本语法 1."#"用来标识Velocity的脚本语句,包括#set.#if .#else.#end.#foreach.#end.#iinclud ...
- jQuery获取URL中所带参数的办法
可以使用正则表达式进行结果的拆分: http://www.cnblogs.com/babycool/p/3169058.html 可以直接进行所需内容的split: http://blog.scien ...
- lufylegend库 鼠标事件 循环事件 键盘事件
lufylegend库 鼠标事件 循环事件 键盘事件 <!DOCTYPE html> <html lang="en"> <head> <m ...
- 开箱即用 - Grunt合并和压缩 js,css 文件
js,css 文件合并与压缩 Grunt 是前端自动化构建工具,类似webpack. 它究竟有多强悍,请看它的 介绍. 这里只演示如何用它的皮毛功能:文件合并与压缩. 首先说下js,css 合并与压缩 ...
- printf 格式化输出
i,d 十进制整数 x,X 十六进制无符号整数 o 八进制无符号整数 u 无符号十进制整数 c 单一字符 s 字符串 e E 指数形式浮 ...
- LoadRunner相关架构图
LoadRunner概览图: Lr架构图: