本篇文章將為大家介紹關於PHP中的SQL注入以及使用PHP-MySQLi和PHP-PDO驅動程式防止SQL注入的方法。下面我們來看具體的內容。
簡單的SQL注入範例
例如,A有一個銀行網站。已為銀行客戶提供了一個網路介面,以查看其帳號和餘額。您的銀行網站使用http://example.com/get_account_details.如何在PHP中防止SQL注入?account_id=102等網址從資料庫中提取詳細資料。
例如,get_account_details.如何在PHP中防止SQL注入的程式碼如下所示。
$accountId = $_GET['account_id']; $query = "SELECT accountNumber, balance FROM accounts WHERE accountId = $accountId";
客戶accountId透過查詢字串作為account_id傳遞。與上面的Url一樣,如果使用者的帳戶ID為102並且它在查詢字串中傳遞。 Php腳本將建立如下所示的查詢。
$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 102";
accountId 102取得accountNumber和餘額詳細信息,並提供給客戶。
我們假設另一個場景,智慧客戶已經通過了account_id,就像0 OR 1=1查詢字串一樣。現在會發生什麼事? PHP腳本將建立如下所示的查詢並在資料庫上執行。
$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 0 OR 1=1";
查看由腳本和資料庫傳回的結果所建立的查詢。您可以看到此查詢傳回了所有帳號和可用餘額。
這稱為SQL注入。這是一個簡單的方式,其實可以有很多方法可以進行SQL注入。下面我們就來看看如何使用PHP MySQLi驅動程式和PHP PDO驅動程式來防止SQL注入。
使用PHP-MySQLi驅動程式
可以使用PHP-MySQLi驅動程式預處理語句來避免這些類型的SQL注入。
PHP防止SQL注入的程式碼如下:
$accountId = $_GET['account_id'];
if ($stmt = $mysqli->prepare('SELECT accountNumber, balance FROM accounts WHERE accountId = ?')) {
$stmt->bind_param("s", $accountId);
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// do something here
}
$stmt->close();
}使用PHP-PDO驅動程式
可以使用PHP-PDO驅動程式prepare語句來避免這些類型的SQL注入。
PHP解決上面的SQL注入問題的程式碼如下:
$accountId = $_GET['account_id'];
if ($stmt = $pdo->prepare('SELECT accountNumber, balance FROM accounts WHERE accountId = :accountId')) {
$stmt->execute(array('name' => $name));
foreach ($stmt as $row) {
// do something here
}
$stmt->close();
}這篇文章到這裡就已經全部結束了,更多其他精彩內容大家可以關注如何在PHP中防止SQL注入中文網的其他相關欄位教程! ! !
以上是如何在PHP中防止SQL注入的詳細內容。更多資訊請關注PHP中文網其他相關文章!
php怎么把负数转为正整数Apr 19, 2022 pm 08:59 PMphp把负数转为正整数的方法:1、使用abs()函数将负数转为正数,使用intval()函数对正数取整,转为正整数,语法“intval(abs($number))”;2、利用“~”位运算符将负数取反加一,语法“~$number + 1”。
php怎么实现几秒后执行一个函数Apr 24, 2022 pm 01:12 PM实现方法:1、使用“sleep(延迟秒数)”语句,可延迟执行函数若干秒;2、使用“time_nanosleep(延迟秒数,延迟纳秒数)”语句,可延迟执行函数若干秒和纳秒;3、使用“time_sleep_until(time()+7)”语句。
php怎么除以100保留两位小数Apr 22, 2022 pm 06:23 PMphp除以100保留两位小数的方法:1、利用“/”运算符进行除法运算,语法“数值 / 100”;2、使用“number_format(除法结果, 2)”或“sprintf("%.2f",除法结果)”语句进行四舍五入的处理值,并保留两位小数。
php怎么根据年月日判断是一年的第几天Apr 22, 2022 pm 05:02 PM判断方法:1、使用“strtotime("年-月-日")”语句将给定的年月日转换为时间戳格式;2、用“date("z",时间戳)+1”语句计算指定时间戳是一年的第几天。date()返回的天数是从0开始计算的,因此真实天数需要在此基础上加1。
php怎么替换nbsp空格符Apr 24, 2022 pm 02:55 PM方法:1、用“str_replace(" ","其他字符",$str)”语句,可将nbsp符替换为其他字符;2、用“preg_replace("/(\s|\ \;||\xc2\xa0)/","其他字符",$str)”语句。
php怎么判断有没有小数点Apr 20, 2022 pm 08:12 PMphp判断有没有小数点的方法:1、使用“strpos(数字字符串,'.')”语法,如果返回小数点在字符串中第一次出现的位置,则有小数点;2、使用“strrpos(数字字符串,'.')”语句,如果返回小数点在字符串中最后一次出现的位置,则有。
php字符串有没有下标Apr 24, 2022 am 11:49 AMphp字符串有下标。在PHP中,下标不仅可以应用于数组和对象,还可应用于字符串,利用字符串的下标和中括号“[]”可以访问指定索引位置的字符,并对该字符进行读写,语法“字符串名[下标值]”;字符串的下标值(索引值)只能是整数类型,起始值为0。
php怎么设置implode没有分隔符Apr 18, 2022 pm 05:39 PM在PHP中,可以利用implode()函数的第一个参数来设置没有分隔符,该函数的第一个参数用于规定数组元素之间放置的内容,默认是空字符串,也可将第一个参数设置为空,语法为“implode(数组)”或者“implode("",数组)”。
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
AI Hentai Generator
免費產生 AI 無盡。
熱門文章
熱工具
Dreamweaver CS6
視覺化網頁開發工具
SecLists
SecLists是最終安全測試人員的伙伴。它是一個包含各種類型清單的集合,這些清單在安全評估過程中經常使用,而且都在一個地方。 SecLists透過方便地提供安全測試人員可能需要的所有列表,幫助提高安全測試的效率和生產力。清單類型包括使用者名稱、密碼、URL、模糊測試有效載荷、敏感資料模式、Web shell等等。測試人員只需將此儲存庫拉到新的測試機上,他就可以存取所需的每種類型的清單。
Safe Exam Browser
Safe Exam Browser是一個安全的瀏覽器環境,安全地進行線上考試。該軟體將任何電腦變成一個安全的工作站。它控制對任何實用工具的訪問,並防止學生使用未經授權的資源。
EditPlus 中文破解版
體積小,語法高亮,不支援程式碼提示功能
mPDF
mPDF是一個PHP庫,可以從UTF-8編碼的HTML產生PDF檔案。原作者Ian Back編寫mPDF以從他的網站上「即時」輸出PDF文件,並處理不同的語言。與原始腳本如HTML2FPDF相比,它的速度較慢,並且在使用Unicode字體時產生的檔案較大,但支援CSS樣式等,並進行了大量增強。支援幾乎所有語言,包括RTL(阿拉伯語和希伯來語)和CJK(中日韓)。支援嵌套的區塊級元素(如P、DIV),
