PHP防止sql注入小技巧之sql预处理原理与实现方法分析
本文实例讲述了PHP防止sql注入小技巧之sql预处理原理与实现方法。分享给大家供大家参考,具体如下:
我们可以把sql预处理看作是想要运行的SQL的一种编译过的模板,它可以使用变量参数进行定制。
我们来看下它有什么好处:
- 预处理语句大大减少了分析时间,只做了一次查询(虽然语句多次执行)。
- 绑定参数减少了服务器带宽,你只需要发送查询的参数,而不是整个语句。
- 预处理语句针对SQL注入是非常有用的,因为参数值发送后使用不同的协议,保证了数据的合法性。
这种预处理呢,可以通过两个方式,咱们这次要说的是mysqli。它任何时候都可以确保应用程序可以用相同的数据访问模式,比PDO要更加实用。
预处理呢,它有两种语句,一种是dml语句,另一种是dql语句。咱们先来看第一种:
query('setnamesutf8');
$insert=$mysqli->prepare("insertadmins(title,cookies,sta,lid)values(?,?,?,?)");
$title="cuijinpeng";
$cookies="luyaran201314";
$sta="1";
$lid=1;
$insert->bind_param("sssi",$title,$cookies,$sta,$lid);
$res=$insert->execute();
if($res){
echo1;
}else{
echo$insert->error;
echo0;
}
$insert->close();
$mysqli->close();
第二种呢,代码如下:
query('setnamesutf8');
$select=$mysqli->prepare("selectid,title,cookies,sta,lidfromadminswhereid>?");
$id="1";
$select->bind_param("i",$id);
$select->bind_result($id,$title,$cookies,$sta,$lid);
$select->execute();
while($select->fetch()){
echo$id."---".$title."---".$cookies."---".$sta."---".$lid."
";
}
$select->close();
$mysqli->close();
接下来,咱们就该看下这两种语句分别支持什么样子的sql了。
第一种呢,它支持insert、update、delete这三种类型的sql,第二种嘞,就是查询语句了。
完事那个bind_param里的那个i,就是咱们传入参数的类型了,具体介绍如下:
- i-integer(整型)
- d-double(双精度浮点型)
- s-string(字符串)
- b-BLOB(binarylargeobject:二进制大对象)
我们传入的每个参数都需要指定类,这样通过告诉数据库参数的数据类型,可以降低SQL注入的风险。
好啦,本次记录就到这里了。
更多关于PHP相关内容感兴趣的读者可查看本站专题:《php程序设计安全教程》、《php安全过滤技巧总结》、《PHP运算与运算符用法总结》、《PHP基本语法入门教程》、《php面向对象程序设计入门教程》、《php字符串(string)用法总结》、《php+mysql数据库操作入门教程》及《php常见数据库操作技巧汇总》
希望本文所述对大家PHP程序设计有所帮助。
声明:本文内容来源于网络,版权归原作者所有,内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:czq8825#qq.com(发邮件时,请将#更换为@)进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。