mysql使用bind_param()参数绑定来防止SQL注入攻击

时间:2016-07-13
mysql防止sql注入攻击有很多种方法,例如我们使用php的addslashes函数或mysql_real_escape_string函数,本文章向大家介绍例外一种防止sql注入攻击的方法,即bind_param()参数绑定来防止SQL注入攻击。

什么是sql注入攻击

在阅读这篇文章之前,我们必须要了解sql注入攻击的原理,下面我们使用一个简单的实例来介绍sql注入攻击,以php语言为例:

$username="manongjc";
$pwd="123";
$sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'"; 

此时sql语句为:

SELECT * FROM table WHERE username = 'manongjc' AND pwd = '123'

这个sql语句没有问题,当数据库中存在用户名为manongjiaoc密码为123时,会查询出结果,否则不会查询到任何数据。

再看下面一种情况:

$username="manongjc";
$pwd="123' or '1'='1";
$sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'"; 

此时sql语句为:

SELECT * FROM table WHERE username = 'manongjc' AND pwd = '123' or '1'='1'

这个时候or是mysql关键字,后面永远为真,所以能查询到结果。这就是SQL注入攻击。 

使用bind_param()参数绑定来防止SQL注入攻击

我们这样写就不会存在SQL注入攻击了:

<?php    
$username="manongjc";
$pwd="123' or '1'='1";
$sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'";    
bindParam($sql, 1, $username, 'STRING');  //以字符串的形式.在第一个问号的地方绑定$username这个变量    
bindParam($sql, 2, $pwd, 'STRING');       //以字符串的形式.在第二个问号的地方绑定$pwd这个变量    
echo $sql;   
?>  

sql输出如下:

SELECT * FROM table WHERE username = 'aaa' AND pwd = 'fdsafda\' or \'1\'=\'1'