㈠ pdo 能完全防止sql注入嗎
pdo query方法有沒有防止sql注入的功能
傳統的mysql_connect 、mysql_query方法存在很多注入風險,而使用PDO預處理機制可以有效的防止SQL注入風險。
㈡ PHP怎麼防止sql注入
如果是字元串類型:addslashes() 這個函數,轉義單雙引號;
如果接收的參數屬於整數型(id之類):intval() 直接取出數字,丟棄後邊的非數字字元;
或者使用PDO預處理語句,綁定參數的方式防止SQL注入。
㈢ 如何使用PDO查詢mysql避免SQL注入的方法
使用PDO或者MySQLi,有很多封裝好的方便的Class。 例如使用PHP-PDO-MySQL-Class · GitHub(這個Class使用上比較類似Python的MySQLdb)的話,這樣就是安全的: 直接拼接字元串則是危險的:
㈣ 如何使用PDO查詢Mysql來避免SQL注入風險
我把問題和贊同最多的答題翻譯了下來。提問:如果用戶的輸入能直接插入到SQL語句中,那麼這個應用就易收到SQL注入的攻擊,舉個例子:$unsafe_variable = $_POST['user_input']; mysqli_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");用戶可以輸入諸如 : value'); DROP TABLE table;-- ,SQL語句就變成這樣了:INSERT INTO table (column) VALUES('value'); DROP TABLE table;--')(譯者註:這樣做的結果就是把table表給刪掉了) 我們可以做什麼去阻止這種情況呢?回答:使用prepared statements(預處理語句)和參數化的查詢。這些SQL語句被發送到資料庫伺服器,它的參數全都會被單獨解析。使用這種方式,攻擊者想注入惡意的SQL是不可能的。要實現這個主要有兩種方式:1. 使用 PDO:$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name'); $stmt->execute(array(':name' => $name)); foreach ($stmt as $row) { // do something with $row }2. 使用 Mysqli:$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?'); $stmt->bind_param('s', $name); $stmt->execute(); $result = $stmt->get_result(); while ($row = $result->fetch_assoc()) { // do something with $row }PDO需要注意的是使用PDO去訪問MySQL資料庫時,真正的prepared statements默認情況下是不使用的。為了解決這個問題,你需要禁用模擬的prepared statements。下面是使用PDO創建一個連接的例子:$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass'); $dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); $dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);上面的例子中,錯誤報告模式並不是強制和必須的,但建議你還是添加它。通過這種方式,腳本在出問題的時候不會被一個致命錯誤終止,而是拋出PDO Exceptions,這就給了開發者機會去捕獲這個錯誤。然而第一行的 setAttribute() 是強制性的,它使得PDO禁用模擬的prepared statements並使用真正的prepared statements。這可以確保這些語句和值在被發送到MySQL伺服器之前不會被PHP解析(這使得攻擊者沒有注入惡意SQL的機會)。盡管你可以使用可選的構造函數參數去設置 charset ,但重點需要注意的是小於5.3.6的PHP版本,DSN(Data Source Name)是默認忽略 charset 參數的。說明當你傳一個SQL語句做預處理時會發生什麼?它被資料庫伺服器解析和編譯了。通過指定參數(通過之前例子中的 ? 或者像 :name 這樣的命名式參數)你告訴資料庫引擎你是想過濾它。接著當你調用 execute() 函數時,prepared statements會和你剛才指定的參數的值結合。在此重要的是,參數的值是和編譯過的語句結合,而非一個SQL字元串。SQL注入就是當創建被發送到資料庫的SQL語句時,通過欺騙的手段讓腳本去引入惡意的字元串。因此當你使用單獨的參數發送真實正確的SQL時,你就限制了被某些不是你真實意圖的事情而搞掛掉的風險。使用prepared statements 傳遞的任何參數都會被當做字元串對待(不過資料庫引擎可能會做一些優化,這些參數最終也可能變成numbers)(譯者註:意思就是把參數當做一個字元串而不會去做額外的行為)。比如在上面的例子中,如果 $name 變數的值是 'Sarah'; DELETE * FROM employees ,產生的結果是會去搜索"'Sarah'; DELETE * FROM employees"這一整個字元串,最終的結果你也就不會面對的是一張空表了。使用prepared statements的另一個好處是,如果你在同一session中再次執行相同的語句,也就不會被再次解析和編譯,這樣你就獲得一些速度上的提升。
㈤ 防sql注入為什麼要用pdo
防止sql注入的方式有很多,比如禁止輸入特殊字元」||「,」'「等,或者將密碼等驗證欄位進行MD5加密後再進行數據校驗都可以防止sql注入
㈥ php如何防止sql注入
額,這是我老師給的答案
答:過濾一些常見的資料庫操作關鍵字,
select ,insert,update,delete,and,*等或通過系統函數addslashes對內容進行過濾
php配置文件中register_globals=off;設置為關閉狀態.(作用將注冊全局變數關閉);如接收POST表單的值使用$_POST['user'],假設設置為ON的話$user才接收值
sql語句書寫的時候盡量不要省略小引號(tab上面那個)和單引號
提高資料庫命名技巧,對於一些重要的欄位根據程序的特點命名,使之不易被猜中
對於常的方法加以封裝,避免直接暴漏SQL語句
開啟PHP安全模式safe_mode=on
打開magic_quotes_gpc來防止SQL注入,默認為關閉,開啟後自動把用戶提交sql查詢語句進行轉換把"'"轉換成"\'"
控制錯誤信息輸出,關閉錯誤信息提示,將錯誤信息寫到系統日誌
使用MYSQLI或PDO預處理
㈦ 請教php中關於使用pdo進行SQL語句的預處理防止注入的問題
$pdo = new PDO("mysql:host=192.168.0.1;dbname=test;charset=utf8","root");
$st = $pdo->prepare("select * from info where id =? and name = ?");
$id = 21;
$name = 'zhangsan';
$st->bindParam(1,$id);
$st->bindParam(2,$name);
$st->execute();
$st->fetchAll();
基本示例,我想你一看就明白了,望採納。
㈧ 如何防止SQL注入漏洞
1、過濾掉一些常見的資料庫操作關鍵字:select,insert,update,delete,and,*等
或者通過系統函數:addslashes(需要被過濾的內容)來進行過濾。
2、在PHP配置文件中
Register_globals=off;設置為關閉狀態 //作用將注冊全局變數關閉。
比如:接收POST表單的值使用$_POST['user'],如果將register_globals=on;直接使用$user可以接收表單的值。
3、SQL語句書寫的時候盡量不要省略小引號(tab鍵上面那個)和單引號
4、提高資料庫命名技巧,對於一些重要的欄位根據程序的特點命名,取不易被猜到的
5、對於常用的方法加以封裝,避免直接暴漏SQL語句
6、開啟PHP安全模式
Safe_mode=on;
7、打開magic_quotes_gpc來防止SQL注入
Magic_quotes_gpc=off;默認是關閉的,它打開後將自動把用戶提交的sql語句的查詢進行轉換,把'轉為\',這對防止sql注入有重大作用。
因此開啟:magic_quotes_gpc=on;
8、控制錯誤信息
關閉錯誤提示信息,將錯誤信息寫到系統日誌。
9、使用mysqli或pdo預處理
㈨ 如何防止SQL注入攻擊
方法一:密碼比對
代碼:$sql="='$name'";$res=mysql_query($sql,$conn);if($arr=mysql_fetch_assoc($res)){//如果用戶名存在if($arr['password']==$pwd) {//密碼比對echo "登錄成功";}else{echo "密碼輸入有誤";}}else{echo "該用戶名不存在";}分析:該情況下,代碼健壯了不少,即使在magic_quote_gpc=Off的情況下,也能防止SQL注入攻擊。因為攻擊者想成功登錄的話,得繞過兩道坎,第一是輸入的用戶名要存在,這一步可以構造一個SQL語句(‘ or 1=1%23)直接繞過,但是這樣子無法通過第二道坎。因為需要用戶輸入一個正確的密碼才能通過,顯然,這已經拒絕了SQL注入攻擊。
方法二:使用PDO的PDO::prepare()預處理操作來防止SQL注入攻擊
思路:創建一個pdo對象,利用pdo的預處理操作可以防止SQL注入攻擊代碼:$name=$_GET['username'];$pwd=$_GET['password'];$sql="select*fromuserswhereusername=?andpassword=?";//1
.創建一個pdo對象$pdo=new PDO("mysql:host=localhost;port=3306;dbname=injection","root","");//2
.設置編碼$pdo-exec("setnames'utf8'");//3
.預處理$sql語句
$pdoStatement=$pdo-prepare($sql);//4
.把接收到的用戶名和密碼填入