PHP防止sql注入小技巧之sql预处理原理与实现方法分析


Posted in PHP onDecember 13, 2019

本文实例讲述了PHP防止sql注入小技巧之sql预处理原理与实现方法。分享给大家供大家参考,具体如下:

我们可以把sql预处理看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。

我们来看下它有什么好处:

  • 预处理语句大大减少了分析时间,只做了一次查询(虽然语句多次执行)。
  • 绑定参数减少了服务器带宽,你只需要发送查询的参数,而不是整个语句。
  • 预处理语句针对SQL注入是非常有用的,因为参数值发送后使用不同的协议,保证了数据的合法性。

这种预处理呢,可以通过两个方式,咱们这次要说的是mysqli。它任何时候都可以确保应用程序可以用相同的数据访问模式,比PDO要更加实用。

预处理呢,它有两种语句,一种是dml语句,另一种是dql语句。咱们先来看第一种:

<?php
header('Content-type:text/html;charset=utf-8');
$mysqli = new mysqli("127.0.0.1","root","root","test");
$mysqli->query('set names utf8');
$insert = $mysqli->prepare("insert admins (title,cookies,sta,lid) values (?,?,?,?)");
$title = "cuijinpeng";
$cookies = "luyaran201314";
$sta = "1";
$lid = 1;
$insert->bind_param("sssi",$title,$cookies,$sta,$lid);
$res = $insert->execute();
if($res){
  echo 1;
}else{
  echo $insert->error;
  echo 0;
}
$insert->close();
$mysqli->close();

第二种呢,代码如下:

<?php
header('Content-type:text/html;charset=utf-8');
$mysqli = new mysqli("127.0.0.1","root","root","test");
$mysqli->query('set names utf8');
$select = $mysqli->prepare("select id,title,cookies,sta,lid from admins where id > ?");
$id = "1";
$select->bind_param("i",$id);
$select->bind_result($id,$title,$cookies,$sta,$lid);
$select->execute();
while ($select->fetch()) {
  echo $id."---".$title."---".$cookies."---".$sta."---".$lid."<br>";
}
$select->close();
$mysqli->close();

接下来,咱们就该看下这两种语句分别支持什么样子的sql了。

第一种呢,它支持insert、update、delete这三种类型的sql,第二种嘞,就是查询语句了。

完事那个bind_param里的那个i,就是咱们传入参数的类型了,具体介绍如下:

  • i - integer(整型)
  • d - double(双精度浮点型)
  • s - string(字符串)
  • b - BLOB(binary large object:二进制大对象)

我们传入的每个参数都需要指定类,这样通过告诉数据库参数的数据类型,可以降低 SQL 注入的风险。

好啦,本次记录就到这里了。

希望本文所述对大家PHP程序设计有所帮助。

PHP 相关文章推荐
php生成SessionID和图片校验码的思路和实现代码
Mar 10 PHP
PHP include_path设置技巧分享
Jul 03 PHP
深入解析PHP的引用计数机制
Jun 14 PHP
PHP遍历某个目录下的所有文件和子文件夹的实现代码
Jun 28 PHP
PHP 错误处理机制
Jul 06 PHP
PHP生成树的方法
Jul 28 PHP
php版微信小店API二次开发及使用示例
Nov 12 PHP
PHP实现微信JS-SDK接口选择相册及拍照并上传的方法
Dec 05 PHP
YII2框架中使用yii.js实现的post请求
Apr 09 PHP
PHP实现时间比较和时间差计算的方法示例
Jul 24 PHP
ThinkPHP中图片按比例切割的代码实例
Mar 08 PHP
Laravel 5.4前后台分离,通过不同的二级域名访问方法
Oct 13 PHP
PHP设计模式之外观模式(Facade)入门与应用详解
Dec 13 #PHP
PHP设计模式之装饰器(装饰者)模式(Decorator)入门与应用详解
Dec 13 #PHP
laravel通用化的CURD的实现
Dec 13 #PHP
Vagrant(WSL)+PHPStorm+Xdebu 断点调试环境搭建
Dec 13 #PHP
phpstudy后门rce批量利用脚本的实现
Dec 12 #PHP
PHP设计模式之数据访问对象模式(DAO)原理与用法实例分析
Dec 12 #PHP
PHP设计模式之建造者模式(Builder)原理与用法案例详解
Dec 12 #PHP
You might like
PHP安全编程之加密功能
2006/10/09 PHP
构建简单的Webmail系统
2006/10/09 PHP
php类声明和php类使用方法示例分享
2014/03/29 PHP
visual studio code 调试php方法(图文详解)
2017/09/15 PHP
JS自动适应的图片弹窗实例
2013/06/29 Javascript
D3.js封装文本实现自动换行和旋转平移等功能
2016/10/14 Javascript
js 能实现监听F5页面刷新子iframe 而父页面不刷新的方法
2016/11/09 Javascript
js实现一个可以兼容PC端和移动端的div拖动效果实例
2016/12/09 Javascript
关于jQuery EasyUI 中刷新Tab选项卡后一个页面变形的解决方法
2017/03/02 Javascript
微信小程序 图片上传实例详解
2017/05/05 Javascript
Javascript实现信息滚动效果
2017/05/18 Javascript
详解如何webpack使用DllPlugin
2018/09/30 Javascript
后台使用freeMarker和前端使用vue的方法及遇到的问题
2019/06/13 Javascript
node.js实现上传文件功能
2019/07/15 Javascript
微信小程序缓存支持二次开发封装实现解析
2019/12/16 Javascript
[00:57]深扒TI7聊天轮盘语音出处5
2017/05/11 DOTA
零基础写python爬虫之HTTP异常处理
2014/11/05 Python
python回调函数用法实例分析
2015/05/09 Python
使用Mixin设计模式进行Python编程的方法讲解
2016/06/21 Python
Python连接SQLServer2000的方法详解
2017/04/19 Python
python 读取excel文件生成sql文件实例详解
2017/05/12 Python
python实现发送邮件及附件功能
2021/03/02 Python
python 数据库查询返回list或tuple实例
2020/05/15 Python
Django实现文章详情页面跳转代码实例
2020/09/16 Python
Python将list元素转存为CSV文件的实现
2020/11/16 Python
家庭睡衣和家庭用品:Little Blue House
2018/03/18 全球购物
英国最大的在线快递公司之一:ParcelHero
2019/11/04 全球购物
EJB2和EJB3在架构上的不同点
2014/09/29 面试题
2014年会演讲稿范文
2014/01/06 职场文书
护士辞职信范文
2014/01/19 职场文书
建筑设计专业求职自我评价
2014/03/02 职场文书
爱心捐款倡议书
2014/04/14 职场文书
销售口号霸气押韵
2015/12/24 职场文书
pygame面向对象的飞行小鸟实现(Flappy bird)
2021/04/01 Python
Python的flask接收前台的ajax的post数据和get数据的方法
2021/04/12 Python
详解Oracle数据库中自带的所有表结构(sql代码)
2021/11/20 Oracle