mysql使用bind_param()参数绑定来防止SQL注入攻击
时间:2016-07-13
mysql防止sql注入攻击有很多种方法,例如我们使用php的addslashes函数或mysql_real_escape_string函数,本文章向大家介绍例外一种防止sql注入攻击的方法,即bind_param()参数绑定来防止SQL注入攻击。
什么是sql注入攻击
在阅读这篇文章之前,我们必须要了解sql注入攻击的原理,下面我们使用一个简单的实例来介绍sql注入攻击,以php语言为例:
$username="manongjc";
$pwd="123";
$sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'";
此时sql语句为:
SELECT * FROM table WHERE username = 'manongjc' AND pwd = '123'
这个sql语句没有问题,当数据库中存在用户名为manongjiaoc密码为123时,会查询出结果,否则不会查询到任何数据。
再看下面一种情况:
$username="manongjc";
$pwd="123' or '1'='1";
$sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'";
此时sql语句为:
SELECT * FROM table WHERE username = 'manongjc' AND pwd = '123' or '1'='1'
这个时候or是mysql关键字,后面永远为真,所以能查询到结果。这就是SQL注入攻击。
使用bind_param()参数绑定来防止SQL注入攻击
我们这样写就不会存在SQL注入攻击了:
<?php
$username="manongjc";
$pwd="123' or '1'='1";
$sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'";
bindParam($sql, 1, $username, 'STRING'); //以字符串的形式.在第一个问号的地方绑定$username这个变量
bindParam($sql, 2, $pwd, 'STRING'); //以字符串的形式.在第二个问号的地方绑定$pwd这个变量
echo $sql;
?>
sql输出如下:
SELECT * FROM table WHERE username = 'aaa' AND pwd = 'fdsafda\' or \'1\'=\'1'
- php概述
- php教程
- php环境搭建
- PHP书写格式
- php变量
- php常量
- PHP注释
- php数组
- php字符串 string
- PHP整型 integer
- PHP浮点型 float
- php布尔型
- php数据类型之数组
- php数据类型之对象
- php数据类型之null
- php数据类型之间的转换
- php运算符
- php表达式
- PHP循环控制
- PHP流程控制
- php函数
- php全局变量
- PHP魔术变量
- php命名空间
- php 日期
- PHP包含文件
- php文件
- PHP 文件上传
- php Cookies
- php Sessions
- php email
- php安全email
- php错误处理
- PHP异常处理
- php过滤器
- PHP 高级过滤器
- php json
- php 表单
- PHP MySQL 简介
- PHP 连接 MySQL
- php创建数据库
- php 创建表
- php mysq 插入数据
- PHP MySQL 插入多条数据
- PHP MySQL 预处理语句
- php mysql 读取数据
- php mysql where
- PHP MySQL Order By
- PHP MySQL Update
- PHP MySQL Delete
- php ODBC
- 偿还技术债(1)-EventBus源码详解
- 两万六千字带你Kotlin入门
- 从源码看 Jetpack(7)-SavedStateHandle源码详解
- 从源码看 Jetpack(6)-ViewModel源码详解
- linux配置c++11编译环境
- Java 多线程编程(聊聊线程池)
- Java 多线程编程(“锁”事碎碎念)
- Spring Cloud Alibaba技术栈(下)
- Electron安装过程深入解析(读完此文解决Electron安装失败导致的无法启动,无法打包的问题)
- Kafka中副本机制的设计和原理
- Cocoapods更新出错
- 用 Wolfram 语言映射美国的山火
- Mathematica在中学数学教与学中的应用
- 总结一些ES不常用的filter
- 如何将炫酷的报表直接截图发送邮件——在Superset 0.37使用Schedule Email功能