- 1、本文档共10页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
PHP操作MySQL数据库 SQL注入
引入SQL注入就是通过把SQL命令插入到Web表单提交、或输入到域名页面请求的查询字符串中,最终达到欺骗服务器执行恶意SQL命令的目的。注入SQL
SQL注入SQL注入通常是由于在执行SQL语句时,没有对用户通过Web表单提交的数据、或者通过URL参数传递的数据没有进行特殊字符的过滤处理等,导致了SQL注入的发生。Web服务器数据库服务器SQL注入攻击获取数据库数据PHP中防止SQL注入最简单的办法就是使用预处理语句。因为预处理语句事先已经编译了语句,传递的参数是不参与解释的。
预处理语句SQL注入$rs = $conn->prepare($sql); $rs->bind_param();$rs->execute(); mysqli$rs = $conn->prepare($sql);$rs.bindParam();$rs.execute();PDOPHP扩展
示例1 < ?phpheader ("Content-Type:text/html; charset=utf-8") ;try{ if(!empty($_ GET['uid'] ) ) { $uid = $_ GET['uid']; }else{ $uid = 1; } $conn = new PDO("mysq1:host=localhost; dbname=shopdata", "root", "secret") ; $conn->exec("set names utf8") ; $conn->setAttribute(PDO::ATTR_ ERRMODE,PDO::ERRMODE EXCEPTION) ; $sql = "select * from users where uid=" . $uid;//需要 执行的sq1语句 $rs = $conn->query($sq1) ; while ($row = $rs->fetch (){ //返回一个索引为结果集列名的数组 echo $row['uid'] ."-". $row['username'] . "-". $row['password']. '<br>' ; }}catch (Exception $e) { die ("Error! :". $e->getMessage( ) .'<br>' ) ;}$conn = null; ?>SQL注入示例。数据查询操作案例
操作案例示例2<?phpheader ("Content-Type: text/html; charset=utf-8") ;try{ if(!empty($_ GET['uid'])) { $uid = $_ GET['uid']; }else{ $uid = 1; } $conn = new PDO ("mysql:host=localhost; dbname=shopdata", "root", "secret") ; $conn->exec("set names utf8") ; $conn->setAttribute(PDO::ATTR ERRMODE,PDO::ERRMODE EXCEPTION) ; $sq1="select * from users where uid=?"; //需要执行的sq1语句 $rs= $conn->prepare($sq1); //准备查询语句 $rs->bindParam(1, $uid); $rs->execute( ); while ($row=$rs->fetch (PDO: :FEICH_ ASSOC )){ //返 回一个索引为结果集列名的数组 echo $row['uid']. "-". $row['username'] . "-". $row['password']. '<br>' ; }}catch (Exception $e) { die ("Error! :". $e->getMessage( ) . '<br>');}$conn = null;?>使用预处理语句预防SQL注入。数据查询
SQL注入直接 SQL 命令注入是攻击者常用的一种创建或修改已有SQL语句的技术,从而达到取得隐藏数据,或覆盖关键的值,甚至执行数据库
您可能关注的文档
- 《PHP程序设计》课程标准.docx
- PHP程序设计 课件 5.2 PHP日期时间操作函数.pptx
- PHP程序设计 课件 4.2 正则表达式.pptx
- PHP程序设计 课件 4.1 常用字符串操作函数.pptx
- PHP程序设计 课件 12.2 用户信息管理实例(Laravel框架实现).pptx
- PHP程序设计 课件 10.5 用户信息管理实例.pptx
- PHP程序设计 课件 12.1 Laravel数据库操作.pptx
- PHP程序设计 课件 11.4 视图.pptx
- PHP程序设计 课件 11.5 中间件.pptx
- PHP程序设计 课件 11.3 控制器.pptx
- 湖北省武汉新区第一学校2023年生物高三上期末经典模拟试题含解析.doc
- 湖北省襄州区四校2023-2024学年高三生物第一学期期末联考试题含解析.doc
- 湖北省孝感一中2023年生物高三第一学期期末统考模拟试题含解析.doc
- 湖北省宜昌市高中教学协作体2023-2024学年生物高三上期末综合测试试题含解析.doc
- 湖北宜昌市示范高中协作体2023年生物高三第一学期期末达标测试试题含解析.doc
- 湖北名师联盟2023年高三生物第一学期期末预测试题含解析.doc
- 湖北省安陆市第一高级中学2023-2024学年生物高三上期末考试模拟试题含解析.doc
- 湖北省八校2023-2024学年生物高三上期末综合测试模拟试题含解析.doc
- 湖北省巴东县第三高级中学2023年生物高三上期末教学质量检测试题含解析.doc
- 湖北省创新发展联盟2023年生物高三第一学期期末经典试题含解析.doc
文档评论(0)