欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

PHP使用PDO实现mysql防注入功能详解

程序员文章站 2024-03-31 09:56:58
本文实例讲述了php使用pdo实现mysql防注入功能。分享给大家供大家参考,具体如下: 1、什么是注入攻击 例如下例: 前端有个提交表格:

本文实例讲述了php使用pdo实现mysql防注入功能。分享给大家供大家参考,具体如下:

1、什么是注入攻击

例如下例:

前端有个提交表格:

  <form action="test.php" method="post">
    姓名:<input name="username" type="text">
    密码:<input name="password" type="password">
    <input type="submit" value="登陆">
  </form>

后台的处理如下:

<?php
  $username=$_post["username"];
  $password=$_post["password"];
  $age=$_post["age"];
  //连接数据库,新建pdo对象
  $pdo=new pdo("mysql:host=localhost;dbname=phpdemo","root","1234");
  
  $sql="select * from login where username='{$username}' and password='{$password}' ";
  echo $sql;
  $stmt=$pdo->query($sql);
  //rowcount()方法返回结果条数或者受影响的行数
  if($stmt->rowcount()>0){ echo "登陆成功!"};

正常情况下,如果你输入姓名为小王,密码xiaowang,会登陆成功,sql语句如下:select * from login where username='小王' and password='xiaowang' 登陆成功!

但是如果你输入姓名为 ' or 1=1 #,密码随便输一个,也会登陆成功,sql语句为:select * from login where username='' or 1=1 #' and password='xiaowang' 登陆成功!

可以看到username='' or 1=1,#注释调了之后的password语句,由于 1=1恒成立,因此这条语句会返回大于1的结果集,从而使验证通过。

2、使用quote过滤特殊字符,防止注入

在sql语句前加上一行,将username变量中的‘等特殊字符过滤,可以起到防止注入的效果

//通过quote方法,返回带引号的字符串,过滤调特殊字符
$username=$pdo->quote($username);
$sql="select * from login where username={$username} and password='{$password}' ";
echo $sql;
$stmt=$pdo->query($sql);
//rowcount()方法返回结果条数或者受影响的行数
if($stmt->rowcount()>0){
  echo "登陆成功!";
};

sql语句为:select * from login where username='\' or 1=1 #' and password='xiaowang'

可以看到“'”被转义\',并且自动为变量$username加上了引号

3、通过预处理语句传递参数,防注入

//通过占位符:username,:password传递值,防止注入
$sql="select * from login where username=:username and password=:password";
$stmt=$pdo->prepare($sql);
//通过statement对象执行查询语句,并以数组的形式赋值给查询语句中的占位符
$stmt->execute(array(':username'=>$username,':password'=>$password));
echo $stmt->rowcount();

其中的占位符也可以为?

//占位符为?
$sql="select * from login where username=? and password=?";
$stmt=$pdo->prepare($sql);
//数组中参数的顺序与查询语句中问号的顺序必须相同
$stmt->execute(array($username,$password));
echo $stmt->rowcount();

4、通过bind绑定参数

bindparam()方法绑定一个变量到查询语句中的参数:  

$sql="insert login(username,password,upic,mail) values(:username,:password,:age,:mail)";
$stmt=$pdo->prepare($sql);
//第三个参数可以指定参数的类型pdo::param_str为字符串,pdo::param_int为整型数
$stmt->bindparam(":username",$username,pdo::param_str);
$stmt->bindparam(":password",$password,pdo::param_str);
$stmt->bindparam(":age",$age,pdo::param_int);
//使用bindvalue()方法绑定一个定值
$stmt->bindvalue(":mail",'default@qq.com');
$stmt->execute();
echo $stmt->rowcount();


使用问号做占位符:

$sql="insert login(username,password,mail) values(?,?,?)";//注意不是中文状态下的问号? 
$stmt=$pdo->prepare($sql); //按照?的顺序绑定参数值 
$stmt->bindparam(1,$username); 
$stmt->bindparam(2,$password); 
$stmt->bindvalue(3,'default@qq.com'); 
$stmt->execute(); 
echo $stmt->rowcount();

使用其中bindvalue()方法给第三个占位符绑定一个常量'default@qq.com',它不随变量的变化而变化。

bindcolumn()方法绑定返回结果集的一列到变量:   

$sql='select * from user';
$stmt=$pdo->prepare($sql);
$stmt->execute();
$stmt->bindcolumn(2,$username);
$stmt->bindcolumn(4,$email);
while($stmt->fetch(pdo::fetch_bound)){
  echo '用户名:'.$username.",邮箱:".$email.'<hr/>';
}