php如何防止sql注入
内容导读
收集整理的这篇技术教程文章主要介绍了php如何防止sql注入,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1936字,纯文字阅读大概需要3分钟。
内容图文
简单的SQL注入示例
例如,A有一个银行网站。已为银行客户提供了一个网络界面,以查看其帐号和余额。您的银行网站使用http://example.com/get_account_details.php?account_id=102等网址从数据库中提取详细信息。
例如,get_account_details.php的代码,如下所示:
$accountId = $_GET['account_id'];$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = $accountId";
客户accountId通过查询字符串作为account_id传递。与上面的Url一样,如果用户的帐户ID为102并且它在查询字符串中传递。Php脚本将创建如下所示的查询。
$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 102";
accountId 102获取accountNumber和余额详细信息,并提供给客户。
相关推荐:《php教程》
我们假设另一个场景,智能客户已经通过了account_id,就像0 OR 1=1查询字符串一样。现在会发生什么?PHP脚本将创建如下所示的查询并在数据库上执行。
$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 0 OR 1=1";
查看由脚本和数据库返回的结果创建的查询。您可以看到此查询返回了所有帐号和可用余额。
这称为SQL注入。这是一个简单的方式,其实可以有很多方法来进行SQL注入。下面我们就来看一下如何使用PHP MySQLi驱动程序和PHP PDO驱动程序防止SQL注入。
使用PHP-MySQLi驱动程序
可以使用PHP-MySQLi驱动程序预处理语句来避免这些类型的SQL注入。
PHP防止SQL注入的代码如下:
$accountId = $_GET['account_id']; if ($stmt = $mysqli->prepare('SELECT accountNumber, balance FROM accounts WHERE accountId = ?')) { $stmt->bind_param("s", $accountId); $stmt->execute(); $result = $stmt->get_result(); while ($row = $result->fetch_assoc()) { // do something here } $stmt->close(); }
使用PHP-PDO驱动程序
可以使用PHP-PDO驱动程序prepare语句来避免这些类型的SQL注入。
PHP解决上面的SQL注入问题的代码如下:
$accountId = $_GET['account_id']; if ($stmt = $pdo->prepare('SELECT accountNumber, balance FROM accounts WHERE accountId = :accountId')) { $stmt->execute(array('name' => $name)); foreach ($stmt as $row) { // do something here } $stmt->close(); }
以上就是php如何防止sql注入的详细内容,更多请关注Gxl网其它相关文章!
内容总结
以上是为您收集整理的php如何防止sql注入全部内容,希望文章能够帮你解决php如何防止sql注入所遇到的程序开发问题。 如果觉得技术教程内容还不错,欢迎将网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。