這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)?lái)有關(guān)PHP中怎么實(shí)現(xiàn)MySQL防注入功能，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

成都創(chuàng)新互聯(lián)公司主營(yíng)金州網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營(yíng)網(wǎng)站建設(shè)方案,重慶APP開發(fā),金州h5微信小程序定制開發(fā)搭建,金州網(wǎng)站營(yíng)銷推廣歡迎金州等地區(qū)企業(yè)咨詢

1、什么是注入攻擊

前端有個(gè)提交表格：

<form action="test.php" method="post">    姓名：<input name="username" type="text">    密碼：<input name="password" type="password">    <input type="submit" value="登陸">  </form>

后臺(tái)的處理如下：

<?php  $username=$_POST["username"];  $password=$_POST["password"];  $age=$_POST["age"];  //連接數(shù)據(jù)庫(kù)，新建PDO對(duì)象  $pdo=new PDO("mysql:host=localhost;dbname=phpdemo","root","1234");  $sql="select * from login WHERE username='{$username}' AND password='{$password}' ";  echo $sql;  $stmt=$pdo->query($sql);  //rowCount()方法返回結(jié)果條數(shù)或者受影響的行數(shù)  if($stmt->rowCount()>0){ echo "登陸成功!"};

正常情況下，如果你輸入姓名為小王，密碼xiaowang，會(huì)登陸成功，sql語(yǔ)句如下：select * from login WHERE username='小王' AND password='xiaowang' 登陸成功！

但是如果你輸入姓名為 ' or 1=1 #,密碼隨便輸一個(gè)，也會(huì)登陸成功，sql語(yǔ)句為：select * from login WHERE username='' or 1=1 #' AND password='xiaowang' 登陸成功！

可以看到username='' or 1=1，#注釋調(diào)了之后的password語(yǔ)句，由于 1=1恒成立，因此這條語(yǔ)句會(huì)返回大于1的結(jié)果集，從而使驗(yàn)證通過(guò)。

2、使用quote過(guò)濾特殊字符，防止注入

在sql語(yǔ)句前加上一行，將username變量中的‘等特殊字符過(guò)濾，可以起到防止注入的效果

//通過(guò)quote方法,返回帶引號(hào)的字符串，過(guò)濾調(diào)特殊字符$username=$pdo->quote($username);$sql="select * from login WHERE username={$username} AND password='{$password}' ";echo $sql;$stmt=$pdo->query($sql);//rowCount()方法返回結(jié)果條數(shù)或者受影響的行數(shù)if($stmt->rowCount()>0){  echo "登陸成功！";};

sql語(yǔ)句為：select * from login WHERE username='\' or 1=1 #' AND password='xiaowang'

可以看到“'”被轉(zhuǎn)義\'，并且自動(dòng)為變量$username加上了引號(hào)

3、通過(guò)預(yù)處理語(yǔ)句傳遞參數(shù)，防注入

//通過(guò)占位符:username,:password傳遞值，防止注入$sql="select * from login WHERE username=:username AND password=:password";$stmt=$pdo->prepare($sql);//通過(guò)statement對(duì)象執(zhí)行查詢語(yǔ)句，并以數(shù)組的形式賦值給查詢語(yǔ)句中的占位符$stmt->execute(array(':username'=>$username,':password'=>$password));echo $stmt->rowCount();

其中的占位符也可以為？

//占位符為？$sql="select * from login WHERE username=? AND password=?";$stmt=$pdo->prepare($sql);//數(shù)組中參數(shù)的順序與查詢語(yǔ)句中問(wèn)號(hào)的順序必須相同$stmt->execute(array($username,$password));echo $stmt->rowCount();

4、通過(guò)bind綁定參數(shù)

bindParam()方法綁定一個(gè)變量到查詢語(yǔ)句中的參數(shù)：

$sql="insert login(username,password,upic,mail) values(:username,:password,:age,:mail)";$stmt=$pdo->prepare($sql);//第三個(gè)參數(shù)可以指定參數(shù)的類型PDO::PARAM_STR為字符串，PDO::PARAM_INT為整型數(shù)$stmt->bindParam(":username",$username,PDO::PARAM_STR);$stmt->bindParam(":password",$password,PDO::PARAM_STR);$stmt->bindParam(":age",$age,PDO::PARAM_INT);//使用bindValue()方法綁定一個(gè)定值$stmt->bindValue(":mail",'default@qq.com');$stmt->execute();echo $stmt->rowCount();

使用問(wèn)號(hào)做占位符：

$sql="insert login(username,password,mail) values(?,?,?)";//注意不是中文狀態(tài)下的問(wèn)號(hào)？$stmt=$pdo->prepare($sql); //按照?的順序綁定參數(shù)值$stmt->bindParam(1,$username);$stmt->bindParam(2,$password);$stmt->bindValue(3,'default@qq.com');$stmt->execute();echo $stmt->rowCount();

使用其中bindValue()方法給第三個(gè)占位符綁定一個(gè)常量'default@qq.com'，它不隨變量的變化而變化。

bindColumn()方法綁定返回結(jié)果集的一列到變量：

$sql='SELECT * FROM user';$stmt=$pdo->prepare($sql);$stmt->execute();$stmt->bindColumn(2,$username);$stmt->bindColumn(4,$email);while($stmt->fetch(PDO::FETCH_BOUND)){  echo '用戶名：'.$username.",郵箱：".$email.'<hr/>';}

上述就是小編為大家分享的PHP中怎么實(shí)現(xiàn)mysql防注入功能了，如果剛好有類似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

本文名稱：PHP中怎么實(shí)現(xiàn)mysql防注入功能
轉(zhuǎn)載注明：http://sd-ha.com/article2/jochic.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站收錄、網(wǎng)站建設(shè)、域名注冊(cè)、網(wǎng)站維護(hù)、網(wǎng)站改版、網(wǎng)站內(nèi)鏈

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)