PDO防止sql注入的機制-mysql教程-PHP中文網

首頁

資料庫

mysql教程

PDO防止sql注入的機制

黄舟

Feb 25, 2017 am 10:28 AM

使用PDO存取MySQL資料庫時，真正的real prepared statements 預設是不使用的。為了解決這個問題，你必須停用 prepared statements的模擬效果。以下是使用PDO建立連結的範例：

程式碼如下:

$dbh = new PDO(&#39;mysql:dbname=dbtest;host=127.0.0.1;charset=utf8&#39;, &#39;user&#39;, &#39;pass&#39;);
$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

#setAttribute（）這一行是強制性的，它會告訴PDO 停用模擬預處理語句，並使用real parepared statements 。這可以確保SQL語句和對應的值在傳遞到mysql伺服器之前是不會被PHP解析的（禁止了所有可能的惡意SQL注入攻擊）。雖然你可以設定檔中設定字元集的屬性(charset=utf8)，但需要格外注意的是，舊版的 PHP（

我們來看一段完整的程式碼使用實例：

程式碼如下:

$dbh = new PDO("mysql:host=localhost; dbname=dbtest", "user", "pass");
$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); //禁用prepared statements的仿真效果
$dbh->exec("set names &#39;utf8&#39;");
$sql="select * from test where name = ? and password = ?";
$stmt = $dbh->prepare($sql);
$exeres = $stmt->execute(array($testname, $pass));
if ($exeres) {
 while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
     print_r($row);
 }
}
$dbh = null;

##上面這段程式碼就可以防範sql注入。為什麼呢？

當呼叫prepare() 時，查詢語句已經傳送給了資料庫伺服器，此時只有佔位符? 傳送過去，沒有使用者提交的資料；當呼叫到execute()時，使用者提交過來的值才會傳送給資料庫，他們是分開傳送的，兩者獨立的，SQL攻擊者沒有一點機會。

但是我們要注意的是以下幾種情況，PDO並不能幫助你防範SQL注入

1、你不能讓佔位符? 取代一組值，如：

程式碼如下:

SELECT * FROM blog WHERE userid IN ( ? );

2、你不能讓佔位符取代資料表名或列名，如：

程式碼如下：

SELECT * FROM blog ORDER BY ?;

3、你不能讓佔位符? 取代任何其他SQL語法，如：
##程式碼如下:

SELECT EXTRACT( ? FROM datetime_column) AS variable_datetime_element FROM blog;

以上就是PDO防止sql注入的機制的內容，更多相關內容請關注PHP中文網（www.php.cn）！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

如何使用MySQL的函數進行數據處理和計算Apr 29, 2025 pm 04:21 PM

MySQL函數可用於數據處理和計算。 1.基本用法包括字符串處理、日期計算和數學運算。 2.高級用法涉及結合多個函數實現複雜操作。 3.性能優化需避免在WHERE子句中使用函數，並使用GROUPBY和臨時表。

MySQL批量插入數據的高效方法Apr 29, 2025 pm 04:18 PM

MySQL批量插入数据的高效方法包括：1.使用INSERTINTO...VALUES语法，2.利用LOADDATAINFILE命令，3.使用事务处理，4.调整批量大小，5.禁用索引，6.使用INSERTIGNORE或INSERT...ONDUPLICATEKEYUPDATE，这些方法能显著提升数据库操作效率。

給MySQL表添加和刪除字段的操作步驟Apr 29, 2025 pm 04:15 PM

在MySQL中，添加字段使用ALTERTABLEtable_nameADDCOLUMNnew_columnVARCHAR(255)AFTERexisting_column，刪除字段使用ALTERTABLEtable_nameDROPCOLUMNcolumn_to_drop。添加字段時，需指定位置以優化查詢性能和數據結構；刪除字段前需確認操作不可逆；使用在線DDL、備份數據、測試環境和低負載時間段修改表結構是性能優化和最佳實踐。

如何分析MySQL查詢的執行計劃Apr 29, 2025 pm 04:12 PM

使用EXPLAIN命令可以分析MySQL查詢的執行計劃。 1.EXPLAIN命令顯示查詢的執行計劃，幫助找出性能瓶頸。 2.執行計劃包括id、select_type、table、type、possible_keys、key、key_len、ref、rows和Extra等字段。 3.根據執行計劃，可以通過添加索引、避免全表掃描、優化JOIN操作和使用覆蓋索引來優化查詢。

如何使用MySQL的子查詢提高查詢效率Apr 29, 2025 pm 04:09 PM

子查詢可以提升MySQL查詢效率。 1)子查詢簡化複雜查詢邏輯，如篩選數據和計算聚合值。 2)MySQL優化器可能將子查詢轉換為JOIN操作以提高性能。 3)使用EXISTS代替IN可避免多行返回錯誤。 4)優化策略包括避免相關子查詢、使用EXISTS、索引優化和避免子查詢嵌套。

MySQL的字符集和排序規則如何配置Apr 29, 2025 pm 04:06 PM

在MySQL中配置字符集和排序規則的方法包括：1.設置服務器級別的字符集和排序規則：SETNAMES'utf8';SETCHARACTERSETutf8;SETCOLLATION_CONNECTION='utf8_general_ci';2.創建使用特定字符集和排序規則的數據庫：CREATEDATABASEexample_dbCHARACTERSETutf8COLLATEutf8_general_ci;3.創建表時指定字符集和排序規則：CREATETABLEexample_table(idINT