PHP实现防止SQL注入的2种方法
程序员文章站
2022-04-15 16:38:17
PHP简单实现防止SQL注入的方法,结合实例形式分析了PHP防止SQL注入的常用操作技巧与注意事项,PHP源码备有详尽注释便于理解,需要的朋友可以参考下! 方法一:execute代入参数 方法二:bindParam绑定参数 ......
php简单实现防止sql注入的方法,结合实例形式分析了php防止sql注入的常用操作技巧与注意事项,php源码备有详尽注释便于理解,需要的朋友可以参考下!
方法一:execute代入参数
$var_value) {
//获取post数组最大值
$num = $num + 1;
}
//下标为i的数组存储的是商品id, 下标为j数组的存储的是此商品的库存
for($i=0;$isetattribute(pdo::attr_emulate_prepares, false);
//查询数据库中是否存在该id的商品
//当调用 prepare() 时,查询语句已经发送给了数据库服务器,此时只有占位符 ? 发送过去,没有用户提交的数据
$stmt = $pdo->prepare("select good_id from delphi_test_content where good_id = ?");
//当调用到 execute()时,用户提交过来的值才会传送给数据库,他们是分开传送的,两者独立的,sql攻击者没有一点机会。
$stmt->execute(array($_post[$i]));
//返回查询结果
$count = $stmt->rowcount();
//如果本地数据库存在该商品id和库存记录,就更新该商品的库存
if($count != 0)
{
$stmt = $pdo->prepare("update delphi_test_content set content = ? where good_id = ?");
$stmt->execute(array($_post[$j], $_post[$i]));
}
//如果本地数据库没有该商品id和库存记录,就新增该条记录
if($count == 0)
{
$stmt = $pdo->prepare("insert into delphi_test_content (good_id,content) values (?,?)");
$stmt->execute(array($_post[$i], $_post[$j]));
}
}
}
$pdo = null;
//关闭连接
}
?>
方法二:bindparam绑定参数
$var_value) {
//获取post数组最大值
$num = $num + 1;
}
//下标为i的数组存储的是商品id, 下标为j数组的存储的是此商品的库存
for($i=0;$iprepare("select good_id from delphi_test_content where good_id = ?");
$stmt->execute(array($_post[$i]));
$stmt->bindparam(1,$_post[$i]);
$stmt->execute();
//返回查询结果
$count = $stmt->rowcount();
//如果本地数据库存在该商品id和库存记录,就更新该商品的库存
if($count != 0)
{
$stmt = $pdo->prepare("update delphi_test_content set content = ? where good_id = ?");
$stmt->execute(array($_post[$j], $_post[$i]));
$stmt->bindparam(1,$_post[$j]);
$stmt->bindparam(2,$_post[$i]);
$stmt->execute();
}
//如果本地数据库没有该商品id和库存记录,就新增该条记录
if($count == 0)
{
$stmt = $pdo->prepare("insert into delphi_test_content (good_id,content) values (?,?)");
$stmt->bindparam(1,$_post[$i]);
$stmt->bindparam(2,$_post[$j]);
$stmt->execute();
}
}
}
$pdo = null;
//关闭连接
}
?>
上一篇: Spring(06)——单例注入多例之lookup-method
下一篇: socket应用