2. 程式人生 > >記錄一下學習PDO技術防範SQL註入的方法

記錄一下學習PDO技術防範SQL註入的方法

阿新 發佈:2018-07-06
utf-8 獲取數據 代碼 cat body ont execute stmt 進行

最近學習了使用PDO技術防範SQL註入的方法,在博客裏當做一次筆記。若果有新的感悟在來添上一筆,畢竟也是剛開始學習。
一、 什麽是PDO

PDO全名PHP Data Object
PHP 數據對象 (PDO) 擴展為PHP訪問數據庫定義了一個輕量級的一致接口。
PDO 提供了一個數據訪問抽象層,這意味著,不管使用哪種數據庫,都可以用相同的函數(方法)來查詢和獲取數據。

二、如何去使用PDO防範SQL註入
/
防範sql註入這裏使用quate()方法過濾特殊字符和通過預處理的一些方式以及bindParameter()方法綁定參數來防止SQL註入
/
三、 使用quate()方法防止sql註入。

Quate()方法返回帶引號的字符串,過濾特殊字符

1、首先創建一個登陸界面來提交用戶名和密碼。

</!DOCTYPE html>
<html>
<head>
    <title></title>
</head>
<body>
        <form action="doAction1.php" method="post">
            <input type="text" name="username"></br>
            <input type="password" name="password"></br>
            <input type="submit" name="submit">
        </form>
</body>
</html>

2、然後創建後臺處理PHP文件,獲取用戶名和密碼,並在數據庫中查詢。基本的查詢方法來查詢。

<?php
header(‘content-type=text/html;charset=utf-8‘);
$username=$_POST[‘username‘];
$password=$_POST[‘password‘];
try{
    $pdo=new PDO(‘mysql:host=localhost;dbname=pdotest‘,‘root‘,‘123‘);
    $sql="select * from user where name=‘{$username}’ and password=‘{$password}’";
    echo $sql."</br>";
    $row=$pdo->query($sql);
    foreach ($row as $key => $value) {
        print_r($value);
    }

}catch(POOException $e){
    echo $e->getMessage();
}

這個處理界面是由SQL註入的界面。
3、我們來測試一下
(1)在文本框中輸入正確的用戶名和密碼,返回正常的信息
技術分享圖片
但是當我們進行註入的時候,返回的信息:
(2)用戶名輸入’ or 1=1 #,密碼隨便輸入
技術分享圖片
將數據庫中的用戶信息以數組的形式全部顯示了出來。
(3)我們在數據庫中執行這串查詢語句
技術分享圖片
可以看到,數據庫照常顯示,這也是sql註入一個很大的危害。
4、接下來我們通過quate()方法來防止SQL註入
通過以下代碼,將new的對象$pdo通過調用quate()方法來重新返回用戶輸入的字符串,然後在通過查詢語句,去查詢數據庫中的數據。

<?php
header(‘content-type=text/html;charset=utf-8‘);
$username=$_POST[‘username‘];
$password=$_POST[‘password‘];
try{
    $pdo=new PDO(‘mysql:host=localhost;dbname=pdotest‘,‘root‘,‘123‘);
     $username=$pdo->quote($username);
     $password=$pdo->quote($password);
    $sql="select * from user where name=‘{$username}‘ and password=‘{$password}‘";
    echo $sql."</br>";
    $row=$pdo->query($sql);
    foreach ($row as $key => $value) {
        print_r($value);
    }

}catch(POOException $e){
    echo $e->getMessage();
}

5、我們來使用同樣的方法來測試一下能不能防範sql註入呢?
(1)正確用戶名和正確密碼驗證:
技術分享圖片
(2)正確用戶名和錯誤密碼訪問
技術分享圖片
查詢不到數據
(3)使用sql註入:
技術分享圖片
查詢失敗,我們可以清楚的看到我們輸入的引號在前面自動的加上了‘\’,將引號給轉義,失去了原來的作用。
(4)同時我們在數據庫中執行一下這個語句。
技術分享圖片
查詢出錯。所以quate()方法能夠有效的防止sql註入
四、 使用預處理語句防止SQL註入
預處理語句中占位符形式來防止SQL註入。占位符有兩種形式,一種是通過命名參數,另一種是通過問好占位符的形式
1、通過命名參數防止註入
(1)首先在原來基礎的源碼上改正查詢語句。改為:
Select * from where name=:username and password=:password
整個源碼:

<?php
header(‘content-type:text/html;charset=utf-8‘);
$username=$_POST[‘username‘];
$password=$_POST[‘password‘];
try{
    $pdo=new PDO(‘mysql:host=localhost;dbname=pdotest‘,‘root‘,‘123‘);
    $sql=‘select * from user where name=:username and password=:password‘;
    $stmt=$pdo->prepare($sql);
    $stmt->execute(array(":username"=>$username,":password"=>$password));
    echo $stmt->rowCount();
}catch(PDOException $e){
    echo $e->getMessage();
}
?>

解釋:
a):命名用戶名參數:username密碼:password。
b):通過調用rowCount()方法,查看返回受sql語句影響的行數,返回0語句執行失敗,大於等於1,語句執行成功。
測試:
(1)正常訪問:用戶名zhangsan,密碼:123
技術分享圖片
(2)錯誤密碼訪問:
技術分享圖片
(3)Sql註入語句訪問:
技術分享圖片
防止註入失敗

2、通過問號(?)占位符防止註入
(1)修改sql查詢語句:
Select * from user where name=? and password=?
完整代碼:

<?
header(‘content-type:text/html;charset=utf-8‘);
$username=$_POST[‘username‘];
$password=$_POST[‘password‘];
try{
    $pdo=new PDO(‘mysql:host=localhost;dbname=pdotest‘,‘root‘,‘123‘);
    $sql="select * from user where name=? and password=?";
    $stmt=$pdo->prepare($sql);
    $stmt->execute(array($username,$password));
    echo $stmt->rowCount();

}catch(PDOException $e){
    echo $e->getMessage();
}
?>

解釋:通過execute()方法直接傳遞數組array($username,$password)給sql語句查詢。
測試:
(1)正常訪問:用戶名:lisi,密碼:abc
技術分享圖片
(2)錯誤用戶名或密碼訪問
技術分享圖片
(3)Sql註入:
技術分享圖片
註入失敗
五、 通過bindParam()方法綁定參數防禦SQL註入。

<?php
header(‘content-type:text/html;charset=utf-8‘);
$username=$_POST[‘username‘];
$password=$_POST[‘password‘];
try{
    $pdo=new PDO(‘mysql:host=localhost;dbname=pdotest‘,‘root‘,‘123‘);
    $sql=‘select * from user where name=:username and password=:password‘;
    $stmt=$pdo->prepare($sql);
    $stmt->bindParam(":username",$username,PDO::PARAM_STR);
    $stmt->bindParam(":password",$password,PDO::PARAM_STR);
    $stmt->execute();
    echo $stmt->rowCount();

}catch(PDOException $e){
    echo $e->getMessage();
}
?>

(1)關鍵代碼:
$stmt->bindParam(":username",$username,PDO::PARAM_STR);
$stmt->bindParam(":password",$password,PDO::PARAM_STR);

解釋:
a)::username和:password為命名參數
b):$username;$password為獲取的變量,即用戶名和密碼。
c):PDO::PARAM_STR,表示參數變量的值一定要為字符串,即綁定參數類型為字符串。在bindparam()方法中,默認綁定的參數類型就是字符串。當你要接受×××的時候可以綁定參數為PDO::PARAM_INT.
測試:
(1)正常訪問測試:

技術分享圖片
(2)測試sql註入:

技術分享圖片

當做是一個筆記吧還有很多的知識點沒有寫出來,以後再慢慢補充吧!!!

記錄一下學習PDO技術防範SQL註入的方法

相關推薦

記錄一下學習PDO技術防範SQL方法

utf-8 獲取數據 代碼 cat body ont execute stmt 進行 最近學習了使用PDO技術防範SQL註入的方法,在博客裏當做一次筆記。若果有新的感悟在來添上一筆,畢竟也是剛開始學習。一、 什麽是PDO PDO全名PHP Data Object PH

記錄一下學習筆記Java,PHP,SQL,HTML,Javascript

DCL是資料控制語言(Data Control Language,DCL)。具備控制資料庫中資料許可權的功能。 GRANT   定義許可權GRANT 許可權1,許可權2... ON 物件型別 物件名 TO 使用者1,使用者2... (WITH GRA

【安全牛學習筆記】初識sql漏洞原理

信息安全 sql security+ 網站沒有對輸入的字符進行過濾,導致輸入的字符影響到網站數據的查詢。編程 數學邏輯思維 and or xor 且 或 否 或:有一個真就是真 且:有一個假就為假 否:相反怎麽找是否有註入漏洞? 第一個找符合參數鏈接的網站

mybatis 學習筆記:mybatis SQL問題

spa onf concat http 控制臺 throws 檢查 src lec SQL 註入攻擊 首先了解下概念,什麽叫SQL 註入: SQL註入攻擊,簡稱SQL攻擊或註入攻擊,是發生於應用程序之數據庫層的安全漏洞。簡而言之,是在輸入的字符串之中註入SQL指令,在設計

SQL學習總結(八):其他SQL的異或

href http 發現 .sql 異或 ascii 3.2 運算 證明 其他類型註入的詳解(5) 5.sql異或註入 背景當我們在嘗試SQL註入時,發現union,and被完全過濾掉了,就可以考慮使用異或註入 知識點 異或運算規則: 1^1=0 0^0=0 0^1=1 1

06 數據庫入門學習-視圖、sql、事務、存儲過程

保存 sele .... tool 幻讀 登錄驗證 防sql註入 存儲 並發 一、視圖 1.什麽是視圖   視圖本質是一張虛擬的表 2.為什麽要用   為了原表的安全  只要有兩大功能    1.隱藏部分數據,開放指定數據    2.視圖可以將查詢結果保存,減少sq

SQL原理講解及防範

ant htm part 無效 快樂 日常 field users lib 原文地址:http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html 1.1.1 摘要 日前,國內最大的程序員社區CSDN網站

PDO防止SQL具體介紹

取代 能夠 article 數據庫 bsp 什麽 幫助 用戶 機會 <span style="font-size:18px;"><?php $dbh = new PDO("mysql:host=localhost; dbname=demo", "use

【安全牛學習筆記】手動漏洞挖掘-SQL

security+ 漏洞 信息安全 手動漏洞挖掘-----SQL註入無權讀取information_schema庫 / 拒絕union、orderby語句 猜列明: ‘and column is null--+ Burp suite自動猜列名 猜當前表表名: ‘and

sql 技術

欺騙 class 用戶輸入 cit 表單 win 泄露 根據 查詢 SQL註入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令,比如很多影視網站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字符暴出的,這類

記錄一次網站漏洞修復過程(三):第二輪處理(攔截SQL、跨站腳本攻擊XSS)

cat nbsp ebe 嵌入 網頁 防止 記錄 用戶輸入 light 在程序編寫的時候采用參數化的SQL語句可以有效的防止SQL註入,但是當程序一旦成型,再去修改大量的數據庫執行語句並不是太現實,對網頁表單上輸入進行校驗是易於實現的方法。在webForm 頁面中開啟校驗屬

【安全牛學習筆記】?KALI版本更新和手動漏洞挖掘(SQL

信息安全 security+ sql註入 漏洞 KALI版本更新-----第一個ROLLING RELEASEKali 2.0發布時聲稱將采用rolling release模式更新(但並未實施)Fixed-release 固定發布周期 使用軟件穩定的主流版本 發布--

sql學習筆記(1)

筆記 err variable 兩個 sch 二分法 當前 dir 返回 把學習到的sql註入的一點知識記錄下來 更改默認的sqlmap脫庫保存的路徑 --output-dir F:\ Substr(字符串,起始位置,字符數) (初始為1不是0) 這裏有示例 http

sql學習筆記2

center database 入學 引擎 order 用戶權限 博客 pos 檢測 Mysql除了自創建的數據庫還有一個自帶的information_schema數據庫。 它提供了訪問元數據的方式,元數據就是對數據的描述。 其中保存著關於MySQL服務器所維護的所有其他數

SQL學習資料總結

腳本 使用 返回結果 得到 php代碼 世界 信息 其他 系統命令 轉載自:https://bbs.ichunqiu.com/thread-12105-1-1.html 什麽是SQL註入 SQL註入基本介紹 結構化查詢語言(Structured Query

sql記錄------類型轉換錯誤---convert()函數

png HP 類型 group .com 技術分享 出現 sql註入 convert sql註入在聯合查詢是出現一下錯誤查不到數據 Illegal mix of collations for operation ‘UNION‘ 用convert() 轉換編碼為utf8

5月11日 python學習總結 子查詢、pymysql模塊增刪改查、防止sql問題

hal port 註入 any dict lex absolut username 參數 一、子查詢    子查詢:把一個查詢語句用括號括起來,當做另外一條查詢語句的條件去用,稱為子查詢 select emp.name from emp inner join dep on

2017-2018-2 20179205《網絡攻防技術與實踐》第十一周作業 SQL攻擊與實踐

tac 原理 HERE 經典的 事先 不存在 編程語言 行數 顯示 《網絡攻防技術與實踐》第十一周作業 SQL註入攻擊與實踐 1.研究緩沖區溢出的原理,至少針對兩種數據庫進行差異化研究 緩沖區溢出原理 ??在計算機內部,輸入數據通常被存放在一個臨時空間內,這個臨時存放的空

零基礎學習手工SQL

SQL SQL註入 手工 SQL註入介紹 SQL註入,其實就是用戶瀏覽器提交的變量內容,應用程序(代碼可能是asp、aspx、php、jsp等)對瀏覽器提交過來的數據未過濾,直接去數據庫查詢,導致把數據庫裏面其他內容(如管理賬戶和密碼)查詢返回到頁面上。先看個《墨者學院故事會》的一個小故事: 某

Java SQL學習筆記

stl 獲取 高級 sel www prevent javase 解釋 名單 1 簡介 文章主要內容包括: Java 持久層技術/框架簡單介紹 不同場景/框架下易導致 SQL 註入的寫法 如何避免和修復 SQL 註入 2 JDBC 介紹 JDBC: