php 使用PDO,防止sql注入 简单说明

PDO:php5

假如以下是一个简单的登录处理:

使用PDO连接mysql首先:

新建数据库

new PDO("mysql:host=localhost;dbname=test","root","root");

host:服务器
dbname:数据库名
后面两个分别是帐号和密码
默认不是长连接

如果想使用长连接需要在后面加入参数:

new PDO("mysql:host=host;dbname=name","user","pw","array(PDO::ATTR_PERSISTENT => true) "); 

看如下简单示例,在这里是单独说明,所以我没有加其他的东西:

<?php
      //接收前端传过来的变量
      $name=$_POST['username'];
      $pwd=$_POST['password'];
      //这里新建PDO连接,在这里我是本地测试的所以host我使用了localhost 数据库名为test,帐号为root密码也是root
      $stmt = new PDO("mysql:host=localhost;dbname=test","root","root");
      //使用prepare进行预处理,其中:name和:pwd是我们等下要传入的变量值,这些都是占位符
      $stmt = $stmt->prepare('SELECT * FROM user1 WHERE user1 = :name and pw1 = :pwd');
      //以上的准备都做好了之后,我们使用execute()方法负责执行准备好的查询
      //该方法需要有每次迭代执行中替换的输入参数,在这里就是:name和:pwd 作为数组将值传递给方法
      //从而值替换掉其中占位符
      //当然也可以使用bindParam,但是我还是喜欢这种简单的方式,毕竟人懒
      $stmt->execute(array('name' => $name,'pwd'=>$pwd));

      while ($row = $stmt->fetch()) {
            print_r($row);
      }

注释已经说明了要说的内容,最后面使用while输出查询到的值,这样就可以防止sql注入,如果不行,那么请自行测试,输入如:’ or 1=1#
我们看我们的’ or 1=1#,如果我们的name输入的是’ or 1=1#,注意 ’ or 1=1# 前面有一个单引号,那么如果我们的sql语句本是如下:

SELECT * FROM user1 WHERE user1='123' AND pw1='234'

把user1的值改为了 ’ or 1=1# 后。
变成了

SELECT * FROM user1 WHERE user1='' OR 1=1# and pw1='234'

其中由于sql中#代表:到此结束,那么说明后面的:and pw1=’234’都将无效,那么我们的sql语句就等于变成了如下语句:

SELECT * FROM user1 WHERE user1='' OR 1=1

由于1=1是肯定成立的,那么此句sql语句中的where条件将会永远正确,此时,语句变成或者说就等于了如下语句:

SELECT * FROM user1 WHERE TRUE

或者说:

SELECT * FROM user1

那么就会登录成功,绕过了此次登录。

IT文库 » php 使用PDO,防止sql注入 简单说明
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址