- 相關(guān)推薦
PHP防止SQL注入的例子
防止SQL注入是我們程序開發(fā)人員必須要做的事情了,今天我們就來(lái)看一篇關(guān)于PHP防止SQL注入的例子,具體的實(shí)現(xiàn)防過(guò)濾語(yǔ)句可以參考以下方法。
使用prepared以及參數(shù)綁定查詢可根本性防止sql注入的發(fā)生:SQL語(yǔ)句與參數(shù)分批傳輸?shù)絪ql服務(wù)器的方式讓利用字符串拼接的SQL注入沒(méi)有了施展空間。
基本上你有兩種方式完成上述方法:
使用PDO:
$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(array('name' => $name));
foreach ($stmt as $row) {
// do something with $row
}
2.使用MySQLi
$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name);
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// do something with $row
}
正確的配置數(shù)據(jù)庫(kù)連接:
注意當(dāng)你用PDO方式訪問(wèn)MySQLs時(shí),使用真正的prepared 語(yǔ)句方式并不是默認(rèn)設(shè)置。所以你必須禁止模擬prepared模式:
$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');
$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
以上語(yǔ)句中對(duì)錯(cuò)誤模式的設(shè)置并不是必須的,但我強(qiáng)烈推薦加上它。這樣腳本就不會(huì)因?yàn)閿?shù)據(jù)庫(kù)的”Fatal Error”而停止,而是拋出一個(gè)PDOExceptions,從而讓你能夠抓取到這個(gè)異常。
【PHP防止SQL注入的例子】相關(guān)文章:
SQL優(yōu)化大全03-08
oracle的sql語(yǔ)句01-21
SQL語(yǔ)句的理解原則03-30
SQL查詢語(yǔ)句大全04-25
sql語(yǔ)句的各種模糊查詢03-30
mysql SQL語(yǔ)句積累參考03-30
執(zhí)行sql原理l分析03-30