PHP防止sql注入小技巧之sql预处理原理与实现方法分析

 更新时间:2019年12月13日 11:57:31   转载 作者:luyaran  
这篇文章主要介绍了PHP防止sql注入小技巧之sql预处理原理与实现方法,结合实例形式分析了PHP防止sql注入的sql预处理操作详细实现与使用方法,需要的朋友可以参考下

本文实例讲述了PHP防止sql注入小技巧之sql预处理原理与实现方法。分享给大家供大家参考,具体如下:

我们可以把sql预处理看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。

我们来看下它有什么好处:

  • 预处理语句大大减少了分析时间,只做了一次查询(虽然语句多次执行)。
  • 绑定参数减少了服务器带宽,你只需要发送查询的参数,而不是整个语句。
  • 预处理语句针对SQL注入是非常有用的,因为参数值发送后使用不同的协议,保证了数据的合法性。

这种预处理呢,可以通过两个方式,咱们这次要说的是mysqli。它任何时候都可以确保应用程序可以用相同的数据访问模式,比PDO要更加实用。

预处理呢,它有两种语句,一种是dml语句,另一种是dql语句。咱们先来看第一种:

<?php
header('Content-type:text/html;charset=utf-8');
$mysqli = new mysqli("127.0.0.1","root","root","test");
$mysqli->query('set names utf8');
$insert = $mysqli->prepare("insert admins (title,cookies,sta,lid) values (?,?,?,?)");
$title = "cuijinpeng";
$cookies = "luyaran201314";
$sta = "1";
$lid = 1;
$insert->bind_param("sssi",$title,$cookies,$sta,$lid);
$res = $insert->execute();
if($res){
  echo 1;
}else{
  echo $insert->error;
  echo 0;
}
$insert->close();
$mysqli->close();

第二种呢,代码如下:

<?php
header('Content-type:text/html;charset=utf-8');
$mysqli = new mysqli("127.0.0.1","root","root","test");
$mysqli->query('set names utf8');
$select = $mysqli->prepare("select id,title,cookies,sta,lid from admins where id > ?");
$id = "1";
$select->bind_param("i",$id);
$select->bind_result($id,$title,$cookies,$sta,$lid);
$select->execute();
while ($select->fetch()) {
  echo $id."---".$title."---".$cookies."---".$sta."---".$lid."<br>";
}
$select->close();
$mysqli->close();

接下来,咱们就该看下这两种语句分别支持什么样子的sql了。

第一种呢,它支持insert、update、delete这三种类型的sql,第二种嘞,就是查询语句了。

完事那个bind_param里的那个i,就是咱们传入参数的类型了,具体介绍如下:

  • i - integer(整型)
  • d - double(双精度浮点型)
  • s - string(字符串)
  • b - BLOB(binary large object:二进制大对象)

我们传入的每个参数都需要指定类,这样通过告诉数据库参数的数据类型,可以降低 SQL 注入的风险。

好啦,本次记录就到这里了。

更多关于PHP相关内容感兴趣的读者可查看本站专题:《php程序设计安全教程》、《php安全过滤技巧总结》、《PHP运算与运算符用法总结》、《PHP基本语法入门教程》、《php面向对象程序设计入门教程》、《php字符串(string)用法总结》、《php+mysql数据库操作入门教程》及《php常见数据库操作技巧汇总

希望本文所述对大家PHP程序设计有所帮助。

相关文章

  • PHP大文件分块上传功能实例详解

    PHP大文件分块上传功能实例详解

    这篇文章主要介绍了PHP大文件分块上传功能,结合实例形式详细分析了前端文件分块提交传输与后台php接收、合并文件相关操作技巧,需要的朋友可以参考下
    2019-07-07
  • PHP函数之error_reporting(E_ALL ^ E_NOTICE)详细说明

    PHP函数之error_reporting(E_ALL ^ E_NOTICE)详细说明

    在看帝国cms的connect.php是发现第一句是error_reporting(E_ALL ^ E_NOTICE);以前也没注意过这个语句,知道是设置错误提示的,但不清楚具体怎样设置使用。下面从网上摘抄了些东西,总结了一下。
    2011-07-07
  • php批量缩放图片的代码[ini参数控制]

    php批量缩放图片的代码[ini参数控制]

    php有专门处理图片的函数,对于一些要求较高的图片缩放,php也能做到。
    2011-02-02
  • php mysqli查询语句返回值类型实例分析

    php mysqli查询语句返回值类型实例分析

    这篇文章主要介绍了php mysqli查询语句返回值类型,结合实例形式分析了php+mysqli常用的查询、插入语句的使用与返回值类型,需要的朋友可以参考下
    2016-06-06
  • PHP中多维数组的foreach遍历示例

    PHP中多维数组的foreach遍历示例

    这篇文章主要介绍了PHP中多维数组的foreach遍历,需要的朋友可以参考下
    2014-06-06
  • 无刷新动态加载数据 滚动条加载适合评论等页面

    无刷新动态加载数据 滚动条加载适合评论等页面

    无刷新动态加载数据,滚屏加载更多数据,适合评论等页面,具体实现如下,感兴趣的朋友可以参考下
    2013-10-10
  • PHP中输出转义JavaScript代码的实现代码

    PHP中输出转义JavaScript代码的实现代码

    最近在做天地图是GIS集成··要输出HTML到JavaScript里面··涉及到代码转义什么的比较麻烦··所以写个PHP的function
    2011-04-04
  • php 将excel导入mysql

    php 将excel导入mysql

    最近因项目需求,要实现将excel文件通过php页面导入mysql数据库中。在网上搜了很多这方面的资料,发现都是将excel文件另存为csv文件,然后从csv文件导入。
    2009-11-11
  • PHP数组常用函数实例小结

    PHP数组常用函数实例小结

    这篇文章主要介绍了PHP数组常用函数,结合实例形式总结分析了php针对数组的统计、计算、去重、过滤等相关函数使用技巧,需要的朋友可以参考下
    2018-08-08
  • 基于PHP实现数据分页显示功能

    基于PHP实现数据分页显示功能

    这篇文章主要为大家详细介绍了基于PHP实现数据分页显示功能,分页在后台管理中是经常使用的功能,分页显示方便大量数据的管理,感兴趣的小伙伴们可以参考一下
    2016-05-05

最新评论