search

博客列表 >mysql使用PDO预处理访问数据库防sql语句注入

mysql使用PDO预处理访问数据库防sql语句注入

浮云
浮云原创
2022年01月26日 17:38:59540浏览

1、配置一个mysql数据库连接页面叫connectsql.php;

  1. <?php
  2. $dsn = 'mysql:host=localhost;port=3308;dbname=cary;charset=utf8';
  3. $username = 'root';
  4. $password = '';
  5. $pdo = new PDO($dsn,$username,$password);
  6. //var_dump($pdo);
  7. ?>

2、使用query方法查询数据库,当前端输入的是合法的用户名和密码和使用了sql注入,得到下面两种结果;

第一种当前端输入的是合法的用户名和密码;

  1. <?php
  2. header('content-type:text/html;charset:utf8');
  4. //假设前端页面传过来的用户名和密码是qinshihuang和123456,分别赋值给了两个变量。
  5. $loginname = "qinshihuang";
  6. $loginpwd="123456";
  8. //引用数据库连接文件
  9. require_once 'connectsql.php';
  11. //用前端传过来的用户名和密码查询数据库里面是否存在;
  12. $stmt = $pdo -> query("select `username`,`password`,`chinesename` from `login` 
  13. where `username` = '{$loginname}' and `password` = '{$loginpwd}'" );
  14. foreach ($stmt as $row) {
  15.     print $row['username']  . "<br>";
  16.     print $row['password'] . "<br>" ;
  17.     print $row['chinesename'] . "<br>";
  18. }
  19. //显示执行的sql语句
  20. var_dump($stmt);
  21. ?>

输入用户名qinshihuang,密码123456,返回的值。

qinshihuang
123456
秦始皇
执行了下面的语句
C:\wamp\www\202201\login.php:20:
object(PDOStatement)[2]
public ‘queryString’ => string ‘select username,password,chinesename from login

where username = ‘qinshihuang’ and password = ‘123456’’ (length=116)

第二种使用sql注入语句时;当前端输入用户名是 ‘ or ‘1==1’#,密码随便字符时。

//假设前端页面传过来的用户名和密码是qinshihuang和123456,分别赋值给了两个变量。
$loginname = “‘ or ‘1==1’#”;
$loginpwd=”123456”;
返回了用户表所有值如下
iubang
123456
刘邦
xiangyu
123456
项羽
liuying
123456
刘盈
liugong
123456
刘恭
qinshihuang
123456
秦始皇
执行了如下语句,伪造了username=’’ or ‘1==1’的查询条件,#以后的语句不会执行。
C:\wamp\www\202201\login1.php:20:
object(PDOStatement)[2]
public ‘queryString’ => string ‘select username,password,chinesename from login

where username = ‘’ or ‘1==1’#’ and password = ‘123456’’ (length=117)

3、pdo预处理接入

  1. <?php
  2. header('content-type:text/html;charset:utf8');
  4. //假设前端页面传过来的用户名和密码是qinshihuang和123456,分别赋值给了两个变量。
  5. //$loginname = "' or '1==1'#";
  6. $loginname = "qinshihuang";
  7. $loginpwd="123456";
  9. //引用数据库连接文件
  10. require_once 'connectsql.php';
  12. //pdo预处理接入
  13. $sql = "select `username`,`password`,`chinesename` from `login` where `username` = ? and `password` = ?";
  15. //准备要执行的语句,并返回语句对象
  16. $stmt = $pdo->prepare($sql);
  18. //绑定参数到指定的变量名
  19. $stmt->bindparam(1,$loginname);
  20. $stmt->bindparam(2,$loginpwd);
  22. //执行一条预处理语句
  23. $stmt->execute();
  25. $res = $stmt->fetchAll(PDO::FETCH_ASSOC);
  27. var_dump($res);
  28. ?>

输入用户名qinshihuang,密码123456,返回的值。

C:\wamp\www\202201\login2.php:27:
array (size=1)
0 =>
array (size=3)
‘username’ => string ‘qinshihuang’ (length=11)
‘password’ => string ‘123456’ (length=6)
‘chinesename’ => string ‘秦始皇’ (length=9)

当前端输入用户名是 ‘ or ‘1==1’#,密码随便字符时,返回为空。

C:\wamp\www\202201\login2.php:27:
array (size=0)
empty

上一条:将请求分发器的注册与退出登录完善下一条:追格商城小程序(开源版)V1.0.0正式发布下载
声明:本文内容转载自脚本之家,由网友自发贡献,版权归原作者所有,如您发现涉嫌抄袭侵权,请联系admin@php.cn 核实处理。
全部评论
文明上网理性发言,请遵守新闻评论服务协议