欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Php中用PDO查詢Mysql來避免SQL注入風(fēng)險的方法

 更新時間:2013年04月25日 16:34:48   作者:  
本篇文章介紹了,Php中用PDO查詢Mysql來避免SQL注入風(fēng)險的方法。需要的朋友參考下

當(dāng)我們使用傳統(tǒng)的 mysql_connect 、mysql_query方法來連接查詢數(shù)據(jù)庫時,如果過濾不嚴,就有SQL注入風(fēng)險,導(dǎo)致網(wǎng)站被攻擊,失去控制。雖然可以用mysql_real_escape_string()函數(shù)過濾用戶提交的值,但是也有缺陷。而使用PHP的PDO擴展的 prepare 方法,就可以避免sql injection 風(fēng)險。

PDO(PHP Data Object) 是PHP5新加入的一個重大功能,因為在PHP 5以前的php4/php3都是一堆的數(shù)據(jù)庫擴展來跟各個數(shù)據(jù)庫的連接和處理,如 php_mysql.dll。 PHP6中也將默認使用PDO的方式連接,mysql擴展將被作為輔助 。官方:http://php.net/manual/en/book.pdo.php

1、PDO配置
使用PDO擴展之前,先要啟用這個擴展,PHP.ini中,去掉"extension=php_pdo.dll"前面的";"號,若要連接數(shù)據(jù)庫,還需要去掉與PDO相關(guān)的數(shù)據(jù)庫擴展前面的";"號(一般用的是php_pdo_mysql.dll),然后重啟Apache服務(wù)器即可。

復(fù)制代碼 代碼如下:

extension=php_pdo.dll
extension=php_pdo_mysql.dll

2、PDO連接mysql數(shù)據(jù)庫
復(fù)制代碼 代碼如下:

$dbh = new PDO("mysql:host=localhost;dbname=db_demo","root","password");

默認不是長連接,若要使用數(shù)據(jù)庫長連接,需要在最后加如下參數(shù):
復(fù)制代碼 代碼如下:

$dbh = new PDO("mysql:host=localhost;dbname=db_demo","root","password","array(PDO::ATTR_PERSISTENT => true)");
$dbh = null; //(釋放)

3、PDO設(shè)置屬性

1) PDO有三種錯誤處理方式:

• PDO::ERrmODE_SILENT不顯示錯誤信息,只設(shè)置錯誤碼
• PDO::ERrmODE_WARNING顯示警告錯
• PDO::ERrmODE_EXCEPTION拋出異常

可通過以下語句來設(shè)置錯誤處理方式為拋出異常

復(fù)制代碼 代碼如下:

$db->setAttribute(PDO::ATTR_ERrmODE, PDO::ERrmODE_EXCEPTION);

當(dāng)設(shè)置為PDO::ERrmODE_SILENT時可以通過調(diào)用errorCode() 或errorInfo()來獲得錯誤信息,當(dāng)然其他情況下也可以。

2) 因為不同數(shù)據(jù)庫對返回的字段名稱大小寫處理不同,所以PDO提供了PDO::ATTR_CASE設(shè)置項(包括PDO::CASE_LOWER,PDO::CASE_NATURAL,PDO::CASE_UPPER),來確定返回的字段名稱的大小寫。

3) 通過設(shè)置PDO::ATTR_ORACLE_NULLS類型(包括PDO::NULL_NATURAL,PDO::NULL_EmpTY_STRING,PDO::NULL_TO_STRING)來指定數(shù)據(jù)庫返回的NULL值在php中對應(yīng)的數(shù)值。

4、PDO常用方法及其應(yīng)用
PDO::query() 主要是用于有記錄結(jié)果返回的操作,特別是SELECT操作
PDO::exec() 主要是針對沒有結(jié)果集合返回的操作,如INSERT、UPDATE等操作
PDO::prepare() 主要是預(yù)處理操作,需要通過$rs->execute()來執(zhí)行預(yù)處理里面的SQL語句,這個方法可以綁定參數(shù),功能比較強大(防止sql注入就靠這個)
PDO::lastInsertId() 返回上次插入操作,主鍵列類型是自增的最后的自增ID
PDOStatement::fetch() 是用來獲取一條記錄
PDOStatement::fetchAll() 是獲取所有記錄集到一個集合
PDOStatement::fetchColumn() 是獲取結(jié)果指定第一條記錄的某個字段,缺省是第一個字段
PDOStatement::rowCount() :主要是用于PDO::query()和PDO::prepare()進行DELETE、INSERT、UPDATE操作影響的結(jié)果集,對PDO::exec()方法和SELECT操作無效。

5、PDO操作MYSQL數(shù)據(jù)庫實例

復(fù)制代碼 代碼如下:

<?php
$pdo = new PDO("mysql:host=localhost;dbname=db_demo","root","");
if($pdo -> exec("insert into db_demo(name,content) values('title','content')")){
echo "插入成功!";
echo $pdo -> lastinsertid();
}
?>

復(fù)制代碼 代碼如下:

<?php
$pdo = new PDO("mysql:host=localhost;dbname=db_demo","root","");
$rs = $pdo -> query("select * from test");
$rs->setFetchMode(PDO::FETCH_ASSOC); //關(guān)聯(lián)數(shù)組形式
//$rs->setFetchMode(PDO::FETCH_NUM); //數(shù)字索引數(shù)組形式
while($row = $rs -> fetch()){
print_r($row);
}
?>

復(fù)制代碼 代碼如下:

<?php
foreach( $db->query( "SELECT * FROM feeds" ) as $row )
{
    print_r( $row );
}
?>

統(tǒng)計有多少行數(shù)據(jù)
復(fù)制代碼 代碼如下:

$sql="select count(*) from test";
$num = $dbh->query($sql)->fetchColumn();

prepare方式
復(fù)制代碼 代碼如下:

$stmt = $dbh->prepare("select * from test");
if ($stmt->execute()) {
 while ($row = $stmt->fetch()) {
     print_r($row);
 }
}

Prepare參數(shù)化查詢
復(fù)制代碼 代碼如下:

$stmt = $dbh->prepare("select * from test where name = ?");
if ($stmt->execute(array("david"))) {
 while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
     print_r($row);
 }
}

【下面來說說重點了,如何防止 sql注入】

使用PDO訪問MySQL數(shù)據(jù)庫時,真正的real prepared statements 默認情況下是不使用的。為了解決這個問題,你必須禁用 prepared statements的仿真效果。下面是使用PDO創(chuàng)建鏈接的例子:

復(fù)制代碼 代碼如下:

$dbh = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');
$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

setAttribute()這一行是強制性的,它會告訴 PDO 禁用模擬預(yù)處理語句,并使用 real parepared statements 。這可以確保SQL語句和相應(yīng)的值在傳遞到mysql服務(wù)器之前是不會被PHP解析的(禁止了所有可能的惡意SQL注入攻擊)。雖然你可以配置文件中設(shè)置字符集的屬性(charset=utf8),但是需要格外注意的是,老版本的 PHP( < 5.3.6)在DSN中是忽略字符參數(shù)的。

我們來看一段完整的代碼使用實例:

復(fù)制代碼 代碼如下:

$dbh = new PDO("mysql:host=localhost; dbname=demo", "user", "pass");
$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); //禁用prepared statements的仿真效果
$dbh->exec("set names 'utf8'");
$sql="select * from test where name = ? and password = ?";
$stmt = $dbh->prepare($sql);
$exeres = $stmt->execute(array($testname, $pass));
if ($exeres) {
 while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
     print_r($row);
 }
}
$dbh = null;

上面這段代碼就可以防范sql注入。為什么呢?

當(dāng)調(diào)用 prepare() 時,查詢語句已經(jīng)發(fā)送給了數(shù)據(jù)庫服務(wù)器,此時只有占位符 ? 發(fā)送過去,沒有用戶提交的數(shù)據(jù);當(dāng)調(diào)用到 execute()時,用戶提交過來的值才會傳送給數(shù)據(jù)庫,他們是分開傳送的,兩者獨立的,SQL攻擊者沒有一點機會。

但是我們需要注意的是以下幾種情況,PDO并不能幫助你防范SQL注入

1、你不能讓占位符 ? 代替一組值,如:

復(fù)制代碼 代碼如下:

SELECT * FROM blog WHERE userid IN ( ? );

2、你不能讓占位符代替數(shù)據(jù)表名或列名,如:
復(fù)制代碼 代碼如下:

SELECT * FROM blog ORDER BY ?;

3、你不能讓占位符 ? 代替任何其他SQL語法,如:
復(fù)制代碼 代碼如下:

SELECT EXTRACT( ? FROM datetime_column) AS variable_datetime_element FROM blog;

相關(guān)文章

  • php實現(xiàn)轉(zhuǎn)換ubb代碼的方法

    php實現(xiàn)轉(zhuǎn)換ubb代碼的方法

    這篇文章主要介紹了php實現(xiàn)轉(zhuǎn)換ubb代碼的方法,涉及php正則替換的使用技巧,需要的朋友可以參考下
    2015-06-06
  • PHP函數(shù)之error_reporting(E_ALL ^ E_NOTICE)詳細說明

    PHP函數(shù)之error_reporting(E_ALL ^ E_NOTICE)詳細說明

    在看帝國cms的connect.php是發(fā)現(xiàn)第一句是error_reporting(E_ALL ^ E_NOTICE);以前也沒注意過這個語句,知道是設(shè)置錯誤提示的,但不清楚具體怎樣設(shè)置使用。下面從網(wǎng)上摘抄了些東西,總結(jié)了一下。
    2011-07-07
  • 五款常用mysql slow log分析工具的比較分析

    五款常用mysql slow log分析工具的比較分析

    mysql slow log 是用來記錄執(zhí)行時間較長(超過long_query_time秒)的sql的一種日志工具
    2011-05-05
  • PHP Document 代碼注釋規(guī)范

    PHP Document 代碼注釋規(guī)范

    PHPDocumentor是一個用PHP寫的工具,對于有規(guī)范注釋的php程序,它能夠快速生成具有相互參照,索引等功能的API文檔。老的版本是 phpdoc。
    2009-04-04
  • php查看session內(nèi)容的函數(shù)

    php查看session內(nèi)容的函數(shù)

    之所以是能寫出來這個函數(shù),主要是對該網(wǎng)站的session結(jié)構(gòu)清楚
    2008-08-08
  • PHPstorm快捷鍵(分享)

    PHPstorm快捷鍵(分享)

    下面小編就為大家?guī)硪黄狿HPstorm快捷鍵(分享)。小編覺得挺不錯的,現(xiàn)在就分享給大家,也給大家做個參考。一起跟隨小編過來看看吧
    2017-07-07
  • 比較全的PHP 會話(session 時間設(shè)定)使用入門代碼

    比較全的PHP 會話(session 時間設(shè)定)使用入門代碼

    由于 Session 是以文本文件形式存儲在服務(wù)器端的,所以不怕客戶端修改 Session 內(nèi)容。實際上在服務(wù)器端的 Session 文件,PHP 自動修改 Session 文件的權(quán)限,只保留了系統(tǒng)讀和寫權(quán)限,而且不能通過 ftp 修改,所以安全得多。
    2008-06-06
  • php出現(xiàn)web系統(tǒng)多域名登錄失敗的解決方法

    php出現(xiàn)web系統(tǒng)多域名登錄失敗的解決方法

    這篇文章主要介紹了php出現(xiàn)web系統(tǒng)多域名登錄失敗的解決方法,針對同一頂級域名下的各子站出現(xiàn)登錄失敗的情況非常有用,需要的朋友可以參考下
    2014-09-09
  • fleaphp rolesNameField bug解決方法

    fleaphp rolesNameField bug解決方法

    fleaphp rolesNameField bug解決方法,需要的朋友可以參考下。
    2011-04-04
  • CentOS系統(tǒng)中PHP安裝擴展的方式匯總

    CentOS系統(tǒng)中PHP安裝擴展的方式匯總

    本文給大家匯總介紹了CentOS系統(tǒng)中PHP安裝拓展的方式,主要有 包管理式 的 yum 安裝、pecl 安裝,以及 源碼編譯安裝??偨Y(jié)的非常全面,推薦給大家。
    2017-04-04

最新評論