不使用预处理功能

<?php

$id = $_GET['id'];

$dsn = 'mysql:host=localhost;port=3306;dbname=database';

try {

    $pdo = new PDO($dsn, $user, $pass);

    $sql = 'SELECT * FROM table where id = ' . $id;

    $stmt = $pdo->query($sql);

    $data = $stmt->fetchALL(PDO::FETCH_ASSOC);

    var_dump($data);

    $stmt->closeCursor();

} catch (PDOException $e) {

    var_dump($e->getMessage());

}

使用匿名占位符预处理

<?php

$id = $_GET['id'];

$dsn = 'mysql:host=localhost;port=3306;dbname=database';

try {

    $pdo = new PDO($dsn, 'user', 'pass');

    $sql = 'SELECT * FROM table where id = ?';

    $stmt = $pdo->prepare($sql);

    $stmt->execute([$id]);

    $data = $stmt->fetchALL(PDO::FETCH_ASSOC);

    var_dump($data);

    $stmt->closeCursor();

} catch (PDOException $e) {

    var_dump($e->getMessage());

}

使用命名占位符预处理

<?php

$id = $_GET['id'];

$dsn = 'mysql:host=localhost;port=3306;dbname=database';

try {

    $pdo = new PDO($dsn, 'user', 'pass');

    $sql = 'SELECT * FROM table where id = :id';

    $stmt = $pdo->prepare($sql);

    $stmt->bindValue(':id', $id);

    $stmt->execute();

    $data = $stmt->fetchALL(PDO::FETCH_ASSOC);

    var_dump($data);

    $stmt->closeCursor();

} catch (PDOException $e) {

    var_dump($e->getMessage());

}


<?php

$foo = $_GET['foo'];

$bar = $_GET['bar'];

$dsn = 'mysql:host=localhost;port=3306;dbname=database';

try {

    $pdo = new PDO($dsn, 'user', 'pass');

    $sql = 'UPDATE table set column_foo = ? where column_bar = ?';

    $stmt = $pdo->prepare($sql);

    $stmt->bindParam(1, $foo);

    $stmt->bindParam(2, $bar);

    $stmt->execute();

    $data = $stmt->rowCount();

    var_dump($data);

    $stmt->closeCursor();

} catch (PDOException $e) {

    var_dump($e->getMessage());

}

PHP中使用PDO的预处理功能避免SQL注入的更多相关文章

  1. MySQL pdo预处理能防止sql注入的原因

    MySQL pdo预处理能防止sql注入的原因: 1.先看预处理的语法 $pdo->prepare('select * from biao1 where id=:id'); $pdo->e ...

  2. 如何使用PDO查询Mysql来避免SQL注入风险?ThinkPHP 3.1中的SQL注入漏洞分析!

    当我们使用传统的 mysql_connect .mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制.虽然可以用mysql_real_escape_ ...

  3. 2017-07-25 PDO预处理以及防止sql注入

    首先来看下不做任何处理的php登录,首先是HTML页面代码 <html> <head><title>用户登录</title></head> ...

  4. mybatis中#{}与${}的差别(如何防止sql注入)

    默认情况下,使用#{}语法,MyBatis会产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查和转义. # ...

  5. 预处理(防止sql注入的一种方式)

    <!--- 预处理(预编译) ---><?php/* 防止 sql 注入的两种方式: 1. 人为提高代码的逻辑性,使其变得更严谨,滴水不漏. 比如说 增加判断条件,增加输入过滤等,但 ...

  6. mybatis中的#和$的区别 以及 防止sql注入

    声明:这是转载的. mybatis中的#和$的区别 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号.如:order by #user_id#,如果传入的值是111,那么解析成sq ...

  7. PDO预处理语句规避SQL注入攻击

    所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令.在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存 ...

  8. 为什么说Mysql预处理可以防止SQL注入

    简单点理解:prepareStatement会形成参数化的查询,例如:1select * from A where tablename.id = ?传入参数'1;select * from B'如果不 ...

  9. Servlet课程0425(七) 到数据库中去验证用户,同时防止SQL注入漏洞

    Login.java //登录界面 package com.tsinghua; import javax.servlet.http.*; import java.io.*; public class ...

随机推荐

  1. [转帖]Linux 下实践 VxLAN:虚拟机和 Docker 场景

    Linux 下实践 VxLAN:虚拟机和 Docker 场景 https://www.cnblogs.com/bakari/p/11264520.html 实践了下 没问题 作者写的很perfect ...

  2. [转帖]Xenix — 微软与UNIX的短暂爱恋

    Xenix — 微软与UNIX的短暂爱恋 https://www.linuxdashen.com/xenix-微软与unix的短暂爱恋 原来微软曾经 干过那么牛B的 unix系统. 微软向外宣布Mic ...

  3. 方格取数--状压DP or 网络流

    题意:http://acm.hdu.edu.cn/showproblem.php?pid=1565 取不相邻的点是权值最大. 这题可以网络流做,暂时先DP一下,网络流明天学一下~~ #define I ...

  4. layui时间显示

    第一次使用layui框架吧!记录layui踩到的坑! 个人洁癖,不太喜欢显示时分秒. 最后终于找到解决方案了! 代码如下: {field: 'ctime',title: '时间',templet:&q ...

  5. java:线上问题排查常用手段(转)

    出处:java:线上问题排查常用手段 一.jmap找出占用内存较大的实例 先给个示例代码: import java.util.ArrayList; import java.util.List; imp ...

  6. Java EE javax.servlet中的ServletRequest接口

    ServletRequest接口 public interface ServletRequest 子接口:HttpServletRequest 实现类:HttpServletRequestWrappe ...

  7. Spring Boot 版本支持

    一.Spring Boot 版本支持 Spring Boot Spring Framework Java Maven Gradle 1.2.0之前版本   6 3.0+ 1.6+ 1.2.0 4.1. ...

  8. mybatis 主键自增异常

     org.springframework.jdbc.UncategorizedSQLException: Error getting generated key or setting result t ...

  9. 富文本二进制转换成string

    ].KindExplain); ) { explainString = explainString.Substring(, explainString.IndexOf() + , explainStr ...

  10. O062、NFS Volume Provider(Part I)

    参考https://www.cnblogs.com/CloudMan6/p/5683352.html   cinder-volume 支持多种 volume provider ,前面我们一直使用的是默 ...