Prapemprosesan PDO log masuk mudah untuk mengelakkan suntikan SQL

1, buat jadual pengguna baharu

cipta pengguna jadual(

id int(4) bukan null kunci utama auto_increment,

nama varchar(255) bukan null,

null )

CHARSET=utf8;

2, masukkan data ujian

MASUKKAN KE DALAM pengguna(nama,pwd) NILAI('bobo','bobo') ; yang baru Fail login.php digunakan untuk menulis halaman html log masuk

Kodnya adalah seperti berikut:

<?php
/**
 * Created by PhpStorm.
 * User: Administrator
 * Date: 2018/3/5 0005
 * Time: 下午 1:12
 */
?>
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form action="check.php" method="post">
    用户名：<input type="text" id="name" name="name"/><br>
    密码：<input type="password" id="pwd" name="pwd" /><br>
    <input type="submit" id='login' name='login' value="登录">
</form>
</body>
</html>

4. Fail check.php baharu digunakan untuk mendapatkan data penyerahan borang pemprosesan sambungan pangkalan data

Kodnya adalah seperti berikut:

<?php
/**
 * Created by PhpStorm.
 * User: Administrator
 * Date: 2018/3/5 0005
 * Time: 下午 1:14
 */
header('content-type:text/html;charset=utf-8');
$username=$_POST['name'];
$pwd=$_POST['pwd'];
try {
    $pdo=new PDO('mysql:host=localhost;dbname=php','root','root');
    $sql="select * from user where name='{$username}' and pwd='{$pwd}'";
    $stmt=$pdo->query($sql);
//返回结果集中的行数
    echo $stmt->rowCount();
} catch (Exception $e) {
    echo $e->getMessage();
}

Hasil penyemak imbas yang dijalankan adalah seperti berikut:

Masukkan nama pengguna bobo, masukkan kata laluan

keluar nama pengguna dan kata laluan yang salah dan cetak 0

Masukkan pernyataan sql suntikan'atau 1 =1# Cetakan masih 1, jelas ada yang tidak kena di sini, tiada rawatan anti-injeksi untuk sql

5, kaedah pertama ialah anti-suntikan (kaedah?)

<?php
try {
    $pdo=new PDO('mysql:host=localhost;dbname=php','root','root');
    $sql="select * from user where name=? and pwd=?";
    $stmt=$pdo->prepare($sql);
    $stmt->execute(array($username,$pwd));
    echo $stmt->rowCount();
} catch (Exception $e) {
    echo $e->getMessage();
}

6, Tidak. Dua cara (mod pemegang tempat)

<?php
try {
    $pdo=new PDO('mysql:host=localhost;dbname=php','root','root');
    $sql="select * from user where name=:name and pwd=:pwd";
    $stmt=$pdo->prepare($sql);
    $stmt->execute(array(":name"=>$username,":pwd"=>$pwd));
    echo $stmt->rowCount();
} catch (Exception $e) {
    echo $e->getMessage();
}

Dalam kedua-dua cara, input 'atau 1=1# cetak kedua-dua 0, yang menyelesaikan masalah suntikan sql.