PHP和Mysql登入功能可防止SQL注入
- 小云云原創
- 2018-02-27 10:40:051557瀏覽
最近在了解SQL注入,發現很多人登入功能都是同時使用使用者輸入的username和password,組合到一條sql語句裡面,查詢判斷有無結果來判定是否可登入。例如下面:
- #
<?php $username = $_POST['username']; $password = $_POST['password']; $sql = "select * from user where username='{$username}' and password='{$password}' "; $this->db->query($sql);
這樣很容易在username參數加入' or 1=1 -- 注入,雖然這只是範例,但現在很多使用框架,一不注意,最終組合成的語句也是類似這樣的。這裡不說輸入參數過濾、參數綁定,語法分析等常用方法去應對SQL注入,我們可以轉換判斷方法:
- ##
<?php
$username = $_POST['username'];
$password = $_POST['password'];
$sql = "select * from user where username='{$username}' ";
$data = $this->db->query($sql);
......
if($data['password'] == $password){
//密码OK
}else{
//密码错误
}
這樣先查到數據,再用php本身來判斷是否符合密碼,是不是解決了問題了?
以上是PHP和Mysql登入功能可防止SQL注入的詳細內容。更多資訊請關注PHP中文網其他相關文章!
陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
上一篇:PHP中抽象類別和介面詳解下一篇:PHP中抽象類別和介面詳解