PHP防止sql注入小技巧之sql预处理原理与实现方法分析
本文实例讲述了PHP防止sql注入小技巧之sql预处理原理与实现方法。分享给大家供大家参考,具体如下:
我们可以把sql预处理看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。
我们来看下它有什么好处:
- 预处理语句大大减少了分析时间,只做了一次查询(虽然语句多次执行)。
- 绑定参数减少了服务器带宽,你只需要发送查询的参数,而不是整个语句。
- 预处理语句针对SQL注入是非常有用的,因为参数值发送后使用不同的协议,保证了数据的合法性。
这种预处理呢,可以通过两个方式,咱们这次要说的是mysqli。它任何时候都可以确保应用程序可以用相同的数据访问模式,比PDO要更加实用。
预处理呢,它有两种语句,一种是dml语句,另一种是dql语句。咱们先来看第一种:
<?php header('Content-type:text/html;charset=utf-8'); $mysqli = new mysqli("127.0.0.1","root","root","test"); $mysqli->query('set names utf8'); $insert = $mysqli->prepare("insert admins (title,cookies,sta,lid) values (?,?,?,?)"); $title = "cuijinpeng"; $cookies = "luyaran201314"; $sta = "1"; $lid = 1; $insert->bind_param("sssi",$title,$cookies,$sta,$lid); $res = $insert->execute(); if($res){ echo 1; }else{ echo $insert->error; echo 0; } $insert->close(); $mysqli->close();
第二种呢,代码如下:
<?php header('Content-type:text/html;charset=utf-8'); $mysqli = new mysqli("127.0.0.1","root","root","test"); $mysqli->query('set names utf8'); $select = $mysqli->prepare("select id,title,cookies,sta,lid from admins where id > ?"); $id = "1"; $select->bind_param("i",$id); $select->bind_result($id,$title,$cookies,$sta,$lid); $select->execute(); while ($select->fetch()) { echo $id."---".$title."---".$cookies."---".$sta."---".$lid."<br>"; } $select->close(); $mysqli->close();
接下来,咱们就该看下这两种语句分别支持什么样子的sql了。
第一种呢,它支持insert、update、delete这三种类型的sql,第二种嘞,就是查询语句了。
完事那个bind_param里的那个i,就是咱们传入参数的类型了,具体介绍如下:
- i - integer(整型)
- d - double(双精度浮点型)
- s - string(字符串)
- b - BLOB(binary large object:二进制大对象)
我们传入的每个参数都需要指定类,这样通过告诉数据库参数的数据类型,可以降低 SQL 注入的风险。
好啦,本次记录就到这里了。
更多关于PHP相关内容感兴趣的读者可查看本站专题:《php程序设计安全教程》、《php安全过滤技巧总结》、《PHP运算与运算符用法总结》、《PHP基本语法入门教程》、《php面向对象程序设计入门教程》、《php字符串(string)用法总结》、《php+mysql数据库操作入门教程》及《php常见数据库操作技巧汇总》
希望本文所述对大家PHP程序设计有所帮助。
上一篇:PHP设计模式之适配器模式(Adapter)原理与用法详解
栏 目:PHP编程
本文标题:PHP防止sql注入小技巧之sql预处理原理与实现方法分析
本文地址:https://www.xiuzhanwang.com/a1/PHPbiancheng/11024.html
您可能感兴趣的文章
- 04-02关于txt数据库php的信息
- 04-02php本站才可以请求数据 php本地数据库
- 04-02网页里php操作数据库 php网页例子
- 04-02php打印请求数据 php打印输出结果
- 04-02php数据库地址 phpstudy 数据库
- 04-02php插入数据库为乱码 php连接数据库乱码
- 04-02php数据库数据相加 php数据库添加数据语句
- 04-02php数据库输入变量 php里输出数据库数据函数
- 04-02数据权限架构思路php 数据权限设计方案
- 04-02php如何用导入数据 php用来导入其他文件的语句
阅读排行
本栏相关
- 04-02php本站才可以请求数据 php本地数据库
- 04-02关于txt数据库php的信息
- 04-02php打印请求数据 php打印输出结果
- 04-02网页里php操作数据库 php网页例子
- 04-02php插入数据库为乱码 php连接数据库乱
- 04-02php数据库地址 phpstudy 数据库
- 04-02php数据库数据相加 php数据库添加数据
- 04-02数据权限架构思路php 数据权限设计方
- 04-02php数据库输入变量 php里输出数据库数
- 04-02php如何用导入数据 php用来导入其他文
随机阅读
- 08-05织梦dedecms什么时候用栏目交叉功能?
- 01-11Mac OSX 打开原生自带读写NTFS功能(图文
- 01-10使用C语言求解扑克牌的顺子及n个骰子
- 01-10delphi制作wav文件的方法
- 08-05dedecms(织梦)副栏目数量限制代码修改
- 01-11ajax实现页面的局部加载
- 01-10SublimeText编译C开发环境设置
- 01-10C#中split用法实例总结
- 04-02jquery与jsp,用jquery
- 08-05DEDE织梦data目录下的sessions文件夹有什