如何使用PDO查詢Mysql來避免SQL注入風險

我把問題和贊同最多的答題翻譯了下來。提問：如果用戶的輸入能直接插入到SQL語句中，那么這個應用就易收到SQL注入的攻擊，舉個例子：$unsafe_variable = $_POST['user_input']; mysqli_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");用戶可以輸入諸如 ： value'); DROP TABLE table;-- ,SQL語句就變成這樣了:INSERT INTO table (column) VALUES('value'); DROP TABLE table;--')(譯者注：這樣做的結果就是把table表給刪掉了) 我們可以做什么去阻止這種情況呢？回答：使用prepared statements（預處理語句）和參數(shù)化的查詢。這些SQL語句被發(fā)送到數(shù)據(jù)庫服務器，它的參數(shù)全都會被單獨解析。使用這種方式，攻擊者想注入惡意的SQL是不可能的。要實現(xiàn)這個主要有兩種方式：1. 使用 PDO：$stmt = $pdo-prepare('SELECT * FROM employees WHERE name = :name'); $stmt-execute(array(':name' = $name)); foreach ($stmt as $row) { // do something with $row }2. 使用 Mysqli：$stmt = $dbConnection-prepare('SELECT * FROM employees WHERE name = ?'); $stmt-bind_param('s', $name); $stmt-execute(); $result = $stmt-get_result(); while ($row = $result-fetch_assoc()) { // do something with $row }PDO需要注意的是使用PDO去訪問MySQL數(shù)據(jù)庫時，真正的prepared statements默認情況下是不使用的。為了解決這個問題，你需要禁用模擬的prepared statements。下面是使用PDO創(chuàng)建一個連接的例子：$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass'); $dbConnection-setAttribute(PDO::ATTR_EMULATE_PREPARES, false); $dbConnection-setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);上面的例子中，錯誤報告模式并不是強制和必須的，但建議你還是添加它。通過這種方式，腳本在出問題的時候不會被一個致命錯誤終止，而是拋出PDO Exceptions，這就給了開發(fā)者機會去捕獲這個錯誤。然而第一行的 setAttribute() 是強制性的，它使得PDO禁用模擬的prepared statements并使用真正的prepared statements。這可以確保這些語句和值在被發(fā)送到MySQL服務器之前不會被PHP解析（這使得攻擊者沒有注入惡意SQL的機會）。盡管你可以使用可選的構造函數(shù)參數(shù)去設置 charset ，但重點需要注意的是小于5.3.6的PHP版本，DSN(Data Source Name)是默認忽略 charset 參數(shù)的。說明當你傳一個SQL語句做預處理時會發(fā)生什么？它被數(shù)據(jù)庫服務器解析和編譯了。通過指定參數(shù)（通過之前例子中的 ? 或者像 :name 這樣的命名式參數(shù)）你告訴數(shù)據(jù)庫引擎你是想過濾它。接著當你調(diào)用 execute() 函數(shù)時，prepared statements會和你剛才指定的參數(shù)的值結合。在此重要的是，參數(shù)的值是和編譯過的語句結合，而非一個SQL字符串。SQL注入就是當創(chuàng)建被發(fā)送到數(shù)據(jù)庫的SQL語句時，通過欺騙的手段讓腳本去引入惡意的字符串。因此當你使用單獨的參數(shù)發(fā)送真實正確的SQL時，你就限制了被某些不是你真實意圖的事情而搞掛掉的風險。使用prepared statements 傳遞的任何參數(shù)都會被當做字符串對待（不過數(shù)據(jù)庫引擎可能會做一些優(yōu)化，這些參數(shù)最終也可能變成numbers）（譯者注：意思就是把參數(shù)當做一個字符串而不會去做額外的行為）。比如在上面的例子中，如果 $name 變量的值是 'Sarah'; DELETE * FROM employees ，產(chǎn)生的結果是會去搜索"'Sarah'; DELETE * FROM employees"這一整個字符串，最終的結果你也就不會面對的是一張空表了。使用prepared statements的另一個好處是，如果你在同一session中再次執(zhí)行相同的語句，也就不會被再次解析和編譯，這樣你就獲得一些速度上的提升。

茂名ssl適用于網(wǎng)站、小程序/APP、API接口等需要進行數(shù)據(jù)傳輸應用場景，ssl證書未來市場廣闊！成為創(chuàng)新互聯(lián)建站的ssl證書銷售渠道，可以享受市場價格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：18980820575（備注：SSL證書合作）期待與您的合作！

怎么獲得mysql以pdo方式的數(shù)據(jù)庫連接變量

怎么獲得mysql以pdo方式的數(shù)據(jù)庫連接變量

// 數(shù)據(jù)庫連接ID 支持多個連接

protected $linkID = array();

// 當前連接ID

protected $_linkID = null;

復制代碼

我在使用datatable editor插件的時候，需要為插件配置mysql數(shù)據(jù)庫信息，但是thinkphp已經(jīng)幫我連接過一次，插件連接的話，插件的

$db = new Database( $sql_details );

復制代碼

這里獲得$db為空值，

解決辦法就是采用pdo連接方式，直接在配置信息的時候把thinkphp的數(shù)據(jù)庫連接變量配置進去

$sql_details = array(

"type" = "Mysql", // Database type: "Mysql", "Postgres", "Sqlite" or "Sqlserver"

"user" = "root", // Database user name

"pass" = "", // Database password

"host" = "localhost", // Database host

"port" = "", // Database connection port (can be left empty for default)

"db" = "XXXX", // Database name

"dsn" = "", // PHP DSN extra information. Set as `charset=utf8` if you are using MySQL

'pdo' = $dbh

);

如何使用PDO查詢mysql避免SQL注入的方法

使用PDO或者MySQLi，有很多封裝好的方便的Class。 例如使用PHP-PDO-MySQL-Class · GitHub（這個Class使用上比較類似Python的MySQLdb）的話，這樣就是安全的： 直接拼接字符串則是危險的：

新聞名稱：mysql怎么用pdo mysqli pdo
轉(zhuǎn)載來源：http://jinyejixie.com/article30/ddicipo.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供商城網(wǎng)站、自適應網(wǎng)站、虛擬主機、定制網(wǎng)站、服務器托管、網(wǎng)站設計公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)