视频1 视频21 视频41 视频61 视频文章1 视频文章21 视频文章41 视频文章61 推荐1 推荐3 推荐5 推荐7 推荐9 推荐11 推荐13 推荐15 推荐17 推荐19 推荐21 推荐23 推荐25 推荐27 推荐29 推荐31 推荐33 推荐35 推荐37 推荐39 推荐41 推荐43 推荐45 推荐47 推荐49 关键词1 关键词101 关键词201 关键词301 关键词401 关键词501 关键词601 关键词701 关键词801 关键词901 关键词1001 关键词1101 关键词1201 关键词1301 关键词1401 关键词1501 关键词1601 关键词1701 关键词1801 关键词1901 视频扩展1 视频扩展6 视频扩展11 视频扩展16 文章1 文章201 文章401 文章601 文章801 文章1001 资讯1 资讯501 资讯1001 资讯1501 标签1 标签501 标签1001 关键词1 关键词501 关键词1001 关键词1501 专题2001
php如何防止sql注入攻击
2020-11-27 14:56:08 责编:小采
文档
点击下载本文 文档为doc格式


PHP简单实现防止sql注入的方法

方法一:execute代入参数

<?php
if(count($_POST)!= 0) {
 $host = 'aaa';
 $database = 'bbb';
 $username = 'ccc';
 $password = '***';
 $num = 0;
 $pdo = new PDO("mysql:host=$host;dbname=$database", $username, $password);//创建一个pdo对象
 foreach ($_POST as $var_Key => $var_Value) {
 //获取POST数组最大值
 $num = $num + 1;
 }
 //下标为i的数组存储的是商品id, 下标为j数组的存储的是此商品的库存
 for($i=0;$i<$num;$i=$i+2)
 {
 //库存下标
 $j = $i+1;
 //判断传递过来的数据合法性
 if(is_numeric(trim($_POST[$i])) && is_numeric(trim($_POST[$j]))){
 //禁用prepared statements的仿真效果
 $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
 //查询数据库中是否存在该ID的商品
 //当调用 prepare() 时,查询语句已经发送给了数据库服务器,此时只有占位符 ? 发送过去,没有用户提交的数据
 $stmt = $pdo->prepare("select good_id from delphi_test_content WHERE good_id = ?");
 //当调用到 execute()时,用户提交过来的值才会传送给数据库,他们是分开传送的,两者的,SQL攻击者没有一点机会。
 $stmt->execute(array($_POST[$i]));
 //返回查询结果
 $count = $stmt->rowCount();
 //如果本地数据库存在该商品ID和库存记录,就更新该商品的库存
 if($count != 0)
 {
 $stmt = $pdo->prepare("update delphi_test_content set content = ? WHERE good_id = ?");
 $stmt->execute(array($_POST[$j], $_POST[$i]));
 }
 //如果本地数据库没有该商品ID和库存记录,就新增该条记录
 if($count == 0)
 {
 $stmt = $pdo->prepare("insert into delphi_test_content (good_id,content) values (?,?)");
 $stmt->execute(array($_POST[$i], $_POST[$j]));
 }
 }
 }
 $pdo = null;
 //关闭连接
}
?>

方法二:bindParam绑定参数

<?php
if(count($_POST)!= 0) {
 $host = 'aaa';
 $database = 'bbb';
 $username = 'ccc';
 $password = '***';
 $num = 0;
 $pdo = new PDO("mysql:host=$host;dbname=$database", $username, $password);//创建一个pdo对象
 foreach ($_POST as $var_Key => $var_Value) {
 //获取POST数组最大值
 $num = $num + 1;
 }
 //下标为i的数组存储的是商品id, 下标为j数组的存储的是此商品的库存
 for($i=0;$i<$num;$i=$i+2)
 {
 //库存下标
 $j = $i+1;
 //判断传递过来的数据合法性(此数据为商品编号以及库存,严格来说字符串全是由数字组成的)
 if(is_numeric(trim($_POST[$i])) && is_numeric(trim($_POST[$j]))){
 //查询数据库中是否存在该ID的商品
 $stmt = $pdo->prepare("select good_id from delphi_test_content WHERE good_id = ?");
 $stmt->execute(array($_POST[$i]));
 $stmt->bindParam(1,$_POST[$i]);
 $stmt->execute();
 //返回查询结果
 $count = $stmt->rowCount();
 //如果本地数据库存在该商品ID和库存记录,就更新该商品的库存
 if($count != 0)
 {
 $stmt = $pdo->prepare("update delphi_test_content set content = ? WHERE good_id = ?");
 $stmt->execute(array($_POST[$j], $_POST[$i]));
 $stmt->bindParam(1,$_POST[$j]);
 $stmt->bindParam(2,$_POST[$i]);
 $stmt->execute();
 }
 //如果本地数据库没有该商品ID和库存记录,就新增该条记录
 if($count == 0)
 {
 $stmt = $pdo->prepare("insert into delphi_test_content (good_id,content) values (?,?)");
 $stmt->bindParam(1,$_POST[$i]);
 $stmt->bindParam(2,$_POST[$j]);
 $stmt->execute();
 }
 }
 }
 $pdo = null;
 //关闭连接
}
?>

下载本文
显示全文
专题
动视 51dongshi.net 版权所有
Copyright © 2019-2025