2. 程式人生 > >PHP實現防止SQL注入的2種方法

PHP實現防止SQL注入的2種方法

阿新 發佈:2018-12-01

PHP簡單實現防止SQL注入的方法,結合例項形式分析了PHP防止SQL注入的常用操作技巧與注意事項,PHP原始碼備有詳盡註釋便於理解,需要的朋友可以參考下!

 

方法一:execute代入引數

 $var_Value) {
    //獲取POST陣列最大值
    $num = $num + 1;
  }
  //下標為i的陣列儲存的是商品id, 下標為j陣列的儲存的是此商品的庫存
  for($i=0;$isetAttribute(PDO::ATTR_EMULATE_PREPARES, false);
      //查詢資料庫中是否存在該ID的商品
      //當呼叫 prepare() 時,查詢語句已經發送給了資料庫伺服器,此時只有佔位符 ? 傳送過去,沒有使用者提交的資料
      $stmt = $pdo->prepare("select good_id from delphi_test_content WHERE good_id = ?");
      //當呼叫到 execute()時,使用者提交過來的值才會傳送給資料庫,他們是分開傳送的,兩者獨立的,SQL攻擊者沒有一點機會。
      $stmt->execute(array($_POST[$i]));
      //返回查詢結果
      $count = $stmt->rowCount();
      //如果本地資料庫存在該商品ID和庫存記錄,就更新該商品的庫存
      if($count != 0)
      {
        $stmt = $pdo->prepare("update delphi_test_content set content = ? WHERE good_id = ?");
        $stmt->execute(array($_POST[$j], $_POST[$i]));
      }
      //如果本地資料庫沒有該商品ID和庫存記錄,就新增該條記錄
      if($count == 0)
      {
        $stmt = $pdo->prepare("insert into delphi_test_content (good_id,content) values (?,?)");
        $stmt->execute(array($_POST[$i], $_POST[$j]));
      }
    }
  }
  $pdo = null;
  //關閉連線
}
?>

 

方法二:bindParam繫結引數

 $var_Value) {
    //獲取POST陣列最大值
    $num = $num + 1;
  }
  //下標為i的陣列儲存的是商品id, 下標為j陣列的儲存的是此商品的庫存
  for($i=0;$iprepare("select good_id from delphi_test_content WHERE good_id = ?");
      $stmt->execute(array($_POST[$i]));
      $stmt->bindParam(1,$_POST[$i]);
      
 
$stmt->execute();
      //返回查詢結果
      $count = $stmt->rowCount();
      //如果本地資料庫存在該商品ID和庫存記錄,就更新該商品的庫存
      if($count != 0)
      {
        $stmt = $pdo->prepare("update delphi_test_content set content = ? WHERE good_id = ?");
        $stmt->execute(array($_POST[$j], $_POST[$i]));
        
 
$stmt->bindParam(1,$_POST[$j]);
        $stmt->bindParam(2,$_POST[$i]);
        $stmt->execute();
      }
      //如果本地資料庫沒有該商品ID和庫存記錄,就新增該條記錄
      if($count == 0)
      {
        $stmt = $pdo->prepare("insert into delphi_test_content (good_id,content) values (?,?)");
        $stmt->bindParam(1,$_POST[$i]);
        $stmt->bindParam(2,$_POST[$j]);
        $stmt->execute();
      }
    }
  }
  $pdo = null;
  //關閉連線
}
?>

 

相關推薦

PHP實現防止SQL注入2方法

PHP簡單實現防止SQL注入的方法,結合例項形式分析了PHP防止SQL注入的常用操作技巧與注意事項,PHP原始碼備有詳盡註釋便於理解,需要的朋友可以參考下!   方法一:execute代入引數 $var_Value) { //獲取POST陣列最大值 $num = $nu

php防止SQL注入的最好方法是什麼?

如果使用者輸入的是直接插入到一個SQL語句中的查詢,應用程式會很容易受到SQL注入,例如下面的例子: $unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO table (column) VAL

PHP使用PDO簡單實現防止SQL注入方法

方法一:execute代入引數  <?php if(count($_POST)!= 0) { $host = 'aaa'; $database = 'bbb'; $username = 'ccc'; $password = '***'; $num

轉:PHP防止SQL注入方法

【一、在伺服器端配置】        安全,PHP程式碼編寫是一方面,PHP的配置更是非常關鍵。 我們php手手工安裝的,php的預設配置檔案在 /usr/local/apache2/conf/php.ini,我們最主要

PHP防止SQL注入方法

【一、在伺服器端配置】        安全,PHP程式碼編寫是一方面,PHP的配置更是非常關鍵。 我們php手手工安裝的,php的預設配置檔案在 /usr/local/apache2/conf/php.ini,我們最主要就是要配置php.ini中的內容,讓我們執行 php能夠更安全。整個P

詳解PHP實現定時任務的五方法

清理 toolbar 路徑 頁面 文檔 errors conf star 包含 定時運行任務對於一個網站來說,是一個比較重要的任務,比如定時發布文檔,定時清理垃圾信息等,現在的網站大多數都是采用PHP動態語言開發的,而對於PHP的實現決定了它沒有Java和.Net這種A

如何在PHP防止SQL注入

  1: 使用PDO物件(對於任何資料庫驅動都好用)2: addslashes用於單位元組字串的處理,3: 多位元組字元用mysql_real_escape_string吧。 另外對於php手冊中get_magic_quotes_gpc的舉例: if (!get_magic_quote

C#中呼叫SAPI實現語音識別的2方法

通過微軟的SAPI,不僅僅可以實現語音合成TTS,同樣可以實現語音識別SR。下面我們就介紹並貼出相關程式碼。主要有兩種方式: 1、使用COM元件技術,不管是C++,C#,Delphi都能玩的轉,開發出來的東西在XP和WIN7都能跑。(注意要引入系統元件SpeechLib,XP要安裝識別引擎) 2、

C#中調用SAPI實現語音識別的2方法

nac == pan fault 組件技術 關閉 int virt generic 通過微軟的SAPI,不僅僅可以實現語音合成TTS,同樣可以實現語音識別SR。下面我們就介紹並貼出相關代碼。主要有兩種方式: 1、使用COM組件技術,不管是C++,C#,Delphi都能

PHP PDO 防止SQL注入

使用PDO的好處: 1> 防止SQL注入 2> 提高執行效率 每條SQL執行前,MYSQL資料庫都需要先進行編譯(即便是一個空格也可能引起重新編譯)。在迴圈執行多條資料時,使用prepare方式傳入不同引數可以減少編譯時間 大部分常見資料庫都支援prepare語

Hibernate防止SQL注入攻擊的方法

如果在查詢欄位中輸入單引號"'",則會報錯,這是因為輸入的單引號和其他的sql組合在一起程式設計了一個新的sql,實際上這就是SQL注入漏洞,後來我在前臺和後臺都對輸入的字元進行了判斷。 永遠也不要寫這樣的程式碼:      String queryString = "f

JS實現快速排序(2方法

1、用i和j兩個指標 2、用一個指標判斷,大的放在右邊,小的數放在左邊 <!DOCTYPE html> <html> <head> <title>quickSort</title> <meta cha

java防止SQL注入的兩方法

1.採用預編譯語句集,它內建了處理SQL注入的能力,只要使用它的setString方法傳值即可: String sql= "select * from users where username=? and password=?; PreparedStatement

淺析php過濾html字串,防止SQL注入方法

本篇文章是對php中過濾html字串,防止SQL注入的方法進行了詳細的分析介紹,需要的朋友參考下   批量過濾post,get敏感資料 複製程式碼 程式碼如下: $_GET = stripslashes_array($_GET); $_POST = st

防止SQL注入的五方法

一、SQL注入簡介     SQL注入是比較常見的網路攻擊方式之一,它不是利用作業系統的BUG來實現攻擊,而是針對程式設計師程式設計時的疏忽,通過SQL語句,實現無帳號登入,甚至篡改資料庫。 二、SQL注入攻擊的總體思路 1.尋找到SQL注入的位置 2.判斷伺服器型別和後臺資料庫型別 3.針對不通的伺服器和

PHP最全防止sql注入方法

(1)mysql_real_escape_string -- 轉義 SQL 語句中使用的字串中的特殊字元,並考慮到連線的當前字符集使用方法如下:$sql = "select count(*

php防止sql註入的方法(轉)

原來 nta puts post提交 支持 允許 line php代碼 開發人員 【一、在服務器端配置】 安全,PHP代碼編寫是一方面,PHP的配置更是非常關鍵。我們php手手工安裝的,php的默認配置文件在 /usr/local/apache2/conf/p

Java 2方法實現簡單的session超時登出

    1、使用攔截器           使用者每次和後臺互動,如果使用者長時間未操作,則需要檢測使用者的登入狀態,這樣的場景已經是再正常不過了。   傳統的做法可以在每個controller裡先判斷user的狀態,然後再執行業務操作,但這樣比較程式

**mybatis處理SQL查詢中的where後面and常用的2方法**

<!-- 1:後面跟1=1 決對成立--> <select id="queryPersonByidAndNo"> select * from person where 1=1 <if test=" id !=null and id !='' ">

Android五資料儲存方式之SQLite資料庫儲存 載入SD卡資料庫 sql操作 事務 防止SQL注入

資料庫 前言 資料庫儲存 資料庫建立 內建儲存資料庫 外接儲存資料庫 編寫DAO 插入操作 更新操作 刪除操作 查詢操作