PHP防止sql语句注入终极解决方案
完美解决方案就是使用拥有Prepared Statement机制(预处理sql)的PDO

//先做个实验 先不用预处理sql写法
<pre>
<?php
$pdo = new PDO('mysql:dbname=testdatabase;host=localhost;charset=utf8', 'root', 'root');
$id='2 or 1=1';
$stmt=$pdo->query('SELECT * FROM wz_admin WHERE id = '.$id);
print_r($stmt -> fetchAll ());
exit();

可以发现 可以输出数据 id=2的时候是没数据的

?>
</pre>

用预处理sql写法

$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
它会告诉 PDO 禁用模拟预处理语句,并使用 real parepared statements 。这可以确保SQL语句和相应的值在传递到mysql服务器之前是不会被PHP解析的(禁止了所有可能的恶意SQL注入攻击)。

<pre>

$pdo = new PDO('mysql:dbname=testdatabase;host=localhost;charset=utf8', 'root', 'root');
$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$stmt = $pdo->prepare('SELECT * FROM wz_admin WHERE id = :id');
$id='2 or 1=1';
$stmt->execute(array('id' => $id));
print_r($stmt -> fetchAll ());
exit();
</pre>

可以发现没有输出数据

<pre>

上面这段代码就可以防范sql注入。为什么呢?
当调用 prepare() 时,查询语句已经发送给了数据库服务器,此时只有占位符 ? 发送过去,没有用户提交的数据;当调用到 execute()时,用户提交过来的值才会传送给数据库,它们是分开传送的,两者独立的,SQL攻击者没有一点机会

<?php

下面我简单的封装了下
class Db
{
private static $pdo;

public static function getPdo ()
{
if ( self::$pdo == null )
{
$host = 'localhost';
$user = 'root';
$pwd = '';
$dbname = 'testdatebase';

$dsn = "mysql:host=$host;dbname=$dbname;port=3306";
$pdo = new PDO ( $dsn, $user, $pwd );
$pdo->query('set names utf8;');
$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
self::$pdo = $pdo;
}
return self::$pdo;
}

public static function getStmt($sql)
{
$pdo = self::getPdo();

return $pdo->prepare($sql);
}

public static function getinsertids()
{
$pdo = self::getPdo();
$insertid = $pdo->lastInsertId();
return $insertid;
}
public static function SETATTR_AUTOCOMMIT()
{
$pdo = self::getPdo();
$pdo->setAttribute(PDO::ATTR_AUTOCOMMIT, 0);
}
public static function beginTransactions()
{
$pdo = self::getPdo();
$pdo->beginTransaction();//开启事务处理
}
public static function commits()
{
$pdo = self::getPdo();
$pdo->commit();//开启事务处理
}
public static function roolbacks()
{
$pdo = self::getPdo();
$pdo->rollBack();//开启事务处理
}
}

$sql = "SELECT * FROM wz_admin WHERE id = ?";
$stmt = Db::getStmt ( $sql );
$stmt -> execute ( array (1));
//PDO::FETCH_ASSOC这个参数代表只显示关联数组 默认是显示索引下标和关联数组的
print_r($stmt -> fetchAll (PDO::FETCH_ASSOC));
exit();

//以下返回1 都是数据库操作成功的
$sql = "INSERT INTO testss (wef,wef1) VALUES(?,?)";
$stmt = Db::getStmt ( $sql );
$dd=$stmt -> execute ( array ('wefe','wefe1'));
print_r($dd);
exit();
$sql = "update testss set wef=? where id=2";
$stmt = Db::getStmt ( $sql );
$dd=$stmt -> execute ( array ('34'));
print_r($dd);

//事务 只有commit得而时候才会执行sql语句 如果过程中报错就会roolbacks 返回到初始状态
/*DB::SETATTR_AUTOCOMMIT();
$username=$_POST['username'];
$sql = 'INSERT INTO arjianghu_register (username) VALUES(?)';
$stmt = \Db::getStmt($sql);
Db::beginTransactions();//开启事务处理
$isOk = $stmt->execute(array($username));
if(!$isOk){
Db::roolbacks();
echo json_encode(array('success'=>0,'msg'=>'网络繁忙','data'=>''));
exit();
}
$sql = 'INSERT INTO arjianghu_zhuangtai (personid) VALUES(?)';
$stmt = \Db::getStmt($sql);
$isOk = $stmt->execute(array(1));

if($isOk){
echo json_encode(array('success'=>1,'msg'=>'操作成功','data'=>''));
exit();
}else{
Db::roolbacks();
echo json_encode(array('success'=>0,'msg'=>'网络繁忙','data'=>''));
exit();
}

DB::commits();*/
?>
</pre>

ps:之所以预处理sql 能够防止注入式因为 他内部经过了转义等其他处理

ps:pdo字段不能用?必须要变量 ?只能用在值

PHP防止sql语句注入终极解决方案(包含pdo各种操作使用实例)的更多相关文章

  1. SQL语句查询时防止SQL语句注入的方法之一

    1.传参时有可能出现SQL语句注入 StringBuffer sb = new StringBuffer(); if(StringUtils.isNotBlank(areaCode)) { sb.ap ...

  2. sql server的sql 语句中的列名包含[]时候,把]替换成]]就可以

    sql server的sql 语句中的列名包含[]时候,把]替换成]]就可以eg: create table p.e_LOG_WebServer ( [BSCFlg] int, ), ) ); sel ...

  3. sql语句实现行转列的3种方法实例

    sql语句实现行转列的3种方法实例 一般在做数据统计的时候会用到行转列,假如要统计学生的成绩,数据库里查询出来的会是这样的,但这并不能达到想要的效果,所以要在查询的时候做一下处理,下面话不多说了,来一 ...

  4. 登录测试用例sql语句注入

    利用SQL注入漏洞登录后台的实现方法 作者: 字体:[增加 减小] 类型:转载 时间:2012-01-12我要评论 工作需要,得好好补习下关于WEB安全方面的相关知识,故撰此文,权当总结,别无它意.读 ...

  5. 跨服务器导入数据SQL语句及其问题解决方案

    --跨服务器导入数据SQL语句: insert into [shsw_manager].[dbo].[Station_List]select * from OPENROWSET('SQLOLEDB', ...

  6. sql无效字符 执行sql语句报错解决方案

    以为是sql中参数赋值有问题,但是将sql语句直接copy到PLSQL中执行,却没问题,纠结了好久,原来是 insert语句多了:唉,坑爹 http://www.jb51.net/article/32 ...

  7. SQL语句汇总(一)——数据库与表的操作以及创建约束

    首先,非常感谢大家对上篇博文的支持,真是让本菜受宠若惊,同时对拖了这么久才出了此篇表示抱歉. 前言:此文旨在汇总从建立数据库到联接查询等绝大部分SQL语句.SQL语句虽不能说很多,但稍有时间不写就容易 ...

  8. SQL语句注入

    1:       select *from user where username='admin' and password='123456'  or 1='1';    万能密码 2:       ...

  9. 数据库的SQL语句创建和主外键删除操作

    create table UserType ( Id ,), Name nvarchar() not null ) go create table UserInfo ( Id ,), LoginPwd ...

随机推荐

  1. 2017EC Final L SOS——找规律&&博弈

    题意 有n个格子排成一行,两人轮流填,可填入"S"或"0",先得到"SOS"的人胜:如果全部填完也没有出现"SOS",则 ...

  2. es6 -- rest 参数

    es6 引入了rest参数(形式:...变量名),用于获取函数的多余参数,这样就不需要使用arguments对象了.rest参数搭配的变量是一个数组,该变量将多余的参数放入数组中. function ...

  3. OpenCV 学习笔记(1-1)opecv3.41及其扩展库在VS2015下配置

    其他正常 opencv_aruco341.lib opencv_bgsegm341.lib opencv_bioinspired341.lib opencv_calib3d341.lib opencv ...

  4. 一个项目管理Master的心声

    毕业第二年我被幸运女神所眷顾,一下成为了一个20多人研发团队的项目master,自己还未从职场菜鸟的称呼中走出来,就要开始管理团队,在接到通知的时候心里既兴奋又慌得六神无主,然而奔着初生牛犊不怕虎的精 ...

  5. Scrapy爬虫案例 | 数据存储至MySQL

    首先,MySQL创建好数据库和表 然后编写各个模块 item.py import scrapy class JianliItem(scrapy.Item): name = scrapy.Field() ...

  6. 1.创建SpringMVC项目

    1.搭建环境 在Configure下点击Settings 找到Maven修改配置目的是使用自己配置的Maven以及阿里云镜像 开始创建项目 写入自己的公司名,项目名点击下一步 添加信息加快maven配 ...

  7. CF241E Flights 题解

    题目 做了一下这道题,突然发现自己忘了差分约束,赶紧复习一下. 设当前有n个变量 a1,a2,...,an ,有若干组限制形如 ai≤aj+k (其中k为常数),则由点j向点i连一条边权为k的边,再从 ...

  8. 【CF1225E Rock Is Push】推岩石

    题目描述 你现在在一个\(n×m\)的迷宫的左上角(即点\((1,1)\)),你的目标是到达迷宫的右下角(即点\((n,m)\)).一次移动你只能向右或者是向下移动一个单位.比如在点\((x,y)\) ...

  9. nginx 访问控制之 document_uri

    这就用到了变量$document_uri,根据前面所学内容,该变量等价于$uri,其实也等价于location匹配. 示例1: if ($document_uri ~ "/admin/&qu ...

  10. linux 搭建局域网YUM源仓库服务器

    yum简介 Yum(全称为 Yellow dog Updater, Modified)是一个在Fedora和RedHat以及CentOS中的Shell前端软件包管理器.基于RPM包管理,能够从指定的服 ...