欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Php中用PDO查詢Mysql來(lái)避免SQL注入風(fēng)險(xiǎn)的方法

 更新時(shí)間:2013年04月25日 16:34:48   作者:  
本篇文章介紹了,Php中用PDO查詢Mysql來(lái)避免SQL注入風(fēng)險(xiǎn)的方法。需要的朋友參考下

當(dāng)我們使用傳統(tǒng)的 mysql_connect 、mysql_query方法來(lái)連接查詢數(shù)據(jù)庫(kù)時(shí),如果過(guò)濾不嚴(yán),就有SQL注入風(fēng)險(xiǎn),導(dǎo)致網(wǎng)站被攻擊,失去控制。雖然可以用mysql_real_escape_string()函數(shù)過(guò)濾用戶提交的值,但是也有缺陷。而使用PHP的PDO擴(kuò)展的 prepare 方法,就可以避免sql injection 風(fēng)險(xiǎn)。

PDO(PHP Data Object) 是PHP5新加入的一個(gè)重大功能,因?yàn)樵赑HP 5以前的php4/php3都是一堆的數(shù)據(jù)庫(kù)擴(kuò)展來(lái)跟各個(gè)數(shù)據(jù)庫(kù)的連接和處理,如 php_mysql.dll。 PHP6中也將默認(rèn)使用PDO的方式連接,mysql擴(kuò)展將被作為輔助 。官方:http://php.net/manual/en/book.pdo.php

1、PDO配置
使用PDO擴(kuò)展之前,先要啟用這個(gè)擴(kuò)展,PHP.ini中,去掉"extension=php_pdo.dll"前面的";"號(hào),若要連接數(shù)據(jù)庫(kù),還需要去掉與PDO相關(guān)的數(shù)據(jù)庫(kù)擴(kuò)展前面的";"號(hào)(一般用的是php_pdo_mysql.dll),然后重啟Apache服務(wù)器即可。

復(fù)制代碼 代碼如下:

extension=php_pdo.dll
extension=php_pdo_mysql.dll

2、PDO連接mysql數(shù)據(jù)庫(kù)
復(fù)制代碼 代碼如下:

$dbh = new PDO("mysql:host=localhost;dbname=db_demo","root","password");

默認(rèn)不是長(zhǎng)連接,若要使用數(shù)據(jù)庫(kù)長(zhǎng)連接,需要在最后加如下參數(shù):
復(fù)制代碼 代碼如下:

$dbh = new PDO("mysql:host=localhost;dbname=db_demo","root","password","array(PDO::ATTR_PERSISTENT => true)");
$dbh = null; //(釋放)

3、PDO設(shè)置屬性

1) PDO有三種錯(cuò)誤處理方式:

• PDO::ERrmODE_SILENT不顯示錯(cuò)誤信息,只設(shè)置錯(cuò)誤碼
• PDO::ERrmODE_WARNING顯示警告錯(cuò)
• PDO::ERrmODE_EXCEPTION拋出異常

可通過(guò)以下語(yǔ)句來(lái)設(shè)置錯(cuò)誤處理方式為拋出異常

復(fù)制代碼 代碼如下:

$db->setAttribute(PDO::ATTR_ERrmODE, PDO::ERrmODE_EXCEPTION);

當(dāng)設(shè)置為PDO::ERrmODE_SILENT時(shí)可以通過(guò)調(diào)用errorCode() 或errorInfo()來(lái)獲得錯(cuò)誤信息,當(dāng)然其他情況下也可以。

2) 因?yàn)椴煌瑪?shù)據(jù)庫(kù)對(duì)返回的字段名稱大小寫(xiě)處理不同,所以PDO提供了PDO::ATTR_CASE設(shè)置項(xiàng)(包括PDO::CASE_LOWER,PDO::CASE_NATURAL,PDO::CASE_UPPER),來(lái)確定返回的字段名稱的大小寫(xiě)。

3) 通過(guò)設(shè)置PDO::ATTR_ORACLE_NULLS類(lèi)型(包括PDO::NULL_NATURAL,PDO::NULL_EmpTY_STRING,PDO::NULL_TO_STRING)來(lái)指定數(shù)據(jù)庫(kù)返回的NULL值在php中對(duì)應(yīng)的數(shù)值。

4、PDO常用方法及其應(yīng)用
PDO::query() 主要是用于有記錄結(jié)果返回的操作,特別是SELECT操作
PDO::exec() 主要是針對(duì)沒(méi)有結(jié)果集合返回的操作,如INSERT、UPDATE等操作
PDO::prepare() 主要是預(yù)處理操作,需要通過(guò)$rs->execute()來(lái)執(zhí)行預(yù)處理里面的SQL語(yǔ)句,這個(gè)方法可以綁定參數(shù),功能比較強(qiáng)大(防止sql注入就靠這個(gè))
PDO::lastInsertId() 返回上次插入操作,主鍵列類(lèi)型是自增的最后的自增ID
PDOStatement::fetch() 是用來(lái)獲取一條記錄
PDOStatement::fetchAll() 是獲取所有記錄集到一個(gè)集合
PDOStatement::fetchColumn() 是獲取結(jié)果指定第一條記錄的某個(gè)字段,缺省是第一個(gè)字段
PDOStatement::rowCount() :主要是用于PDO::query()和PDO::prepare()進(jìn)行DELETE、INSERT、UPDATE操作影響的結(jié)果集,對(duì)PDO::exec()方法和SELECT操作無(wú)效。

5、PDO操作MYSQL數(shù)據(jù)庫(kù)實(shí)例

復(fù)制代碼 代碼如下:

<?php
$pdo = new PDO("mysql:host=localhost;dbname=db_demo","root","");
if($pdo -> exec("insert into db_demo(name,content) values('title','content')")){
echo "插入成功!";
echo $pdo -> lastinsertid();
}
?>

復(fù)制代碼 代碼如下:

<?php
$pdo = new PDO("mysql:host=localhost;dbname=db_demo","root","");
$rs = $pdo -> query("select * from test");
$rs->setFetchMode(PDO::FETCH_ASSOC); //關(guān)聯(lián)數(shù)組形式
//$rs->setFetchMode(PDO::FETCH_NUM); //數(shù)字索引數(shù)組形式
while($row = $rs -> fetch()){
print_r($row);
}
?>

復(fù)制代碼 代碼如下:

<?php
foreach( $db->query( "SELECT * FROM feeds" ) as $row )
{
    print_r( $row );
}
?>

統(tǒng)計(jì)有多少行數(shù)據(jù)
復(fù)制代碼 代碼如下:

$sql="select count(*) from test";
$num = $dbh->query($sql)->fetchColumn();

prepare方式
復(fù)制代碼 代碼如下:

$stmt = $dbh->prepare("select * from test");
if ($stmt->execute()) {
 while ($row = $stmt->fetch()) {
     print_r($row);
 }
}

Prepare參數(shù)化查詢
復(fù)制代碼 代碼如下:

$stmt = $dbh->prepare("select * from test where name = ?");
if ($stmt->execute(array("david"))) {
 while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
     print_r($row);
 }
}

【下面來(lái)說(shuō)說(shuō)重點(diǎn)了,如何防止 sql注入】

使用PDO訪問(wèn)MySQL數(shù)據(jù)庫(kù)時(shí),真正的real prepared statements 默認(rèn)情況下是不使用的。為了解決這個(gè)問(wèn)題,你必須禁用 prepared statements的仿真效果。下面是使用PDO創(chuàng)建鏈接的例子:

復(fù)制代碼 代碼如下:

$dbh = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');
$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

setAttribute()這一行是強(qiáng)制性的,它會(huì)告訴 PDO 禁用模擬預(yù)處理語(yǔ)句,并使用 real parepared statements 。這可以確保SQL語(yǔ)句和相應(yīng)的值在傳遞到mysql服務(wù)器之前是不會(huì)被PHP解析的(禁止了所有可能的惡意SQL注入攻擊)。雖然你可以配置文件中設(shè)置字符集的屬性(charset=utf8),但是需要格外注意的是,老版本的 PHP( < 5.3.6)在DSN中是忽略字符參數(shù)的。

我們來(lái)看一段完整的代碼使用實(shí)例:

復(fù)制代碼 代碼如下:

$dbh = new PDO("mysql:host=localhost; dbname=demo", "user", "pass");
$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); //禁用prepared statements的仿真效果
$dbh->exec("set names 'utf8'");
$sql="select * from test where name = ? and password = ?";
$stmt = $dbh->prepare($sql);
$exeres = $stmt->execute(array($testname, $pass));
if ($exeres) {
 while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
     print_r($row);
 }
}
$dbh = null;

上面這段代碼就可以防范sql注入。為什么呢?

當(dāng)調(diào)用 prepare() 時(shí),查詢語(yǔ)句已經(jīng)發(fā)送給了數(shù)據(jù)庫(kù)服務(wù)器,此時(shí)只有占位符 ? 發(fā)送過(guò)去,沒(méi)有用戶提交的數(shù)據(jù);當(dāng)調(diào)用到 execute()時(shí),用戶提交過(guò)來(lái)的值才會(huì)傳送給數(shù)據(jù)庫(kù),他們是分開(kāi)傳送的,兩者獨(dú)立的,SQL攻擊者沒(méi)有一點(diǎn)機(jī)會(huì)。

但是我們需要注意的是以下幾種情況,PDO并不能幫助你防范SQL注入

1、你不能讓占位符 ? 代替一組值,如:

復(fù)制代碼 代碼如下:

SELECT * FROM blog WHERE userid IN ( ? );

2、你不能讓占位符代替數(shù)據(jù)表名或列名,如:
復(fù)制代碼 代碼如下:

SELECT * FROM blog ORDER BY ?;

3、你不能讓占位符 ? 代替任何其他SQL語(yǔ)法,如:
復(fù)制代碼 代碼如下:

SELECT EXTRACT( ? FROM datetime_column) AS variable_datetime_element FROM blog;

相關(guān)文章

  • php實(shí)現(xiàn)轉(zhuǎn)換ubb代碼的方法

    php實(shí)現(xiàn)轉(zhuǎn)換ubb代碼的方法

    這篇文章主要介紹了php實(shí)現(xiàn)轉(zhuǎn)換ubb代碼的方法,涉及php正則替換的使用技巧,需要的朋友可以參考下
    2015-06-06
  • PHP函數(shù)之error_reporting(E_ALL ^ E_NOTICE)詳細(xì)說(shuō)明

    PHP函數(shù)之error_reporting(E_ALL ^ E_NOTICE)詳細(xì)說(shuō)明

    在看帝國(guó)cms的connect.php是發(fā)現(xiàn)第一句是error_reporting(E_ALL ^ E_NOTICE);以前也沒(méi)注意過(guò)這個(gè)語(yǔ)句,知道是設(shè)置錯(cuò)誤提示的,但不清楚具體怎樣設(shè)置使用。下面從網(wǎng)上摘抄了些東西,總結(jié)了一下。
    2011-07-07
  • 五款常用mysql slow log分析工具的比較分析

    五款常用mysql slow log分析工具的比較分析

    mysql slow log 是用來(lái)記錄執(zhí)行時(shí)間較長(zhǎng)(超過(guò)long_query_time秒)的sql的一種日志工具
    2011-05-05
  • PHP Document 代碼注釋規(guī)范

    PHP Document 代碼注釋規(guī)范

    PHPDocumentor是一個(gè)用PHP寫(xiě)的工具,對(duì)于有規(guī)范注釋的php程序,它能夠快速生成具有相互參照,索引等功能的API文檔。老的版本是 phpdoc。
    2009-04-04
  • php查看session內(nèi)容的函數(shù)

    php查看session內(nèi)容的函數(shù)

    之所以是能寫(xiě)出來(lái)這個(gè)函數(shù),主要是對(duì)該網(wǎng)站的session結(jié)構(gòu)清楚
    2008-08-08
  • PHPstorm快捷鍵(分享)

    PHPstorm快捷鍵(分享)

    下面小編就為大家?guī)?lái)一篇PHPstorm快捷鍵(分享)。小編覺(jué)得挺不錯(cuò)的,現(xiàn)在就分享給大家,也給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧
    2017-07-07
  • 比較全的PHP 會(huì)話(session 時(shí)間設(shè)定)使用入門(mén)代碼

    比較全的PHP 會(huì)話(session 時(shí)間設(shè)定)使用入門(mén)代碼

    由于 Session 是以文本文件形式存儲(chǔ)在服務(wù)器端的,所以不怕客戶端修改 Session 內(nèi)容。實(shí)際上在服務(wù)器端的 Session 文件,PHP 自動(dòng)修改 Session 文件的權(quán)限,只保留了系統(tǒng)讀和寫(xiě)權(quán)限,而且不能通過(guò) ftp 修改,所以安全得多。
    2008-06-06
  • php出現(xiàn)web系統(tǒng)多域名登錄失敗的解決方法

    php出現(xiàn)web系統(tǒng)多域名登錄失敗的解決方法

    這篇文章主要介紹了php出現(xiàn)web系統(tǒng)多域名登錄失敗的解決方法,針對(duì)同一頂級(jí)域名下的各子站出現(xiàn)登錄失敗的情況非常有用,需要的朋友可以參考下
    2014-09-09
  • fleaphp rolesNameField bug解決方法

    fleaphp rolesNameField bug解決方法

    fleaphp rolesNameField bug解決方法,需要的朋友可以參考下。
    2011-04-04
  • CentOS系統(tǒng)中PHP安裝擴(kuò)展的方式匯總

    CentOS系統(tǒng)中PHP安裝擴(kuò)展的方式匯總

    本文給大家匯總介紹了CentOS系統(tǒng)中PHP安裝拓展的方式,主要有 包管理式 的 yum 安裝、pecl 安裝,以及 源碼編譯安裝??偨Y(jié)的非常全面,推薦給大家。
    2017-04-04

最新評(píng)論