当前位置:首页 > PHP教程 > php高级应用 > 列表

PHP防止sql注入小技巧之sql预处理原理与实现方法分析

发布:smiling 来源: PHP粉丝网  添加日期:2022-01-28 10:49:30 浏览: 评论:0 

本文实例讲述了PHP防止sql注入小技巧之sql预处理原理与实现方法,分享给大家供大家参考,具体如下:

我们可以把sql预处理看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。

我们来看下它有什么好处:

预处理语句大大减少了分析时间,只做了一次查询(虽然语句多次执行)。

绑定参数减少了服务器带宽,你只需要发送查询的参数,而不是整个语句。

预处理语句针对SQL注入是非常有用的,因为参数值发送后使用不同的协议,保证了数据的合法性。

这种预处理呢,可以通过两个方式,咱们这次要说的是mysqli,它任何时候都可以确保应用程序可以用相同的数据访问模式,比PDO要更加实用。

预处理呢,它有两种语句,一种是dml语句,另一种是dql语句,咱们先来看第一种:

  1. <?php 
  2. header('Content-type:text/html;charset=utf-8'); 
  3. $mysqli = new mysqli("127.0.0.1","root","root","test"); 
  4. $mysqli->query('set names utf8'); 
  5. $insert = $mysqli->prepare("insert admins (title,cookies,sta,lid) values (?,?,?,?)"); 
  6. $title = "cuijinpeng"
  7. $cookies = "luyaran201314"
  8. $sta = "1"
  9. $lid = 1; 
  10. $insert->bind_param("sssi",$title,$cookies,$sta,$lid); 
  11. $res = $insert->execute(); 
  12. if($res){ 
  13.   echo 1; 
  14. }else
  15.   echo $insert->error; 
  16.   echo 0; 
  17. $insert->close(); 
  18. $mysqli->close(); 

第二种呢,代码如下:

  1. <?php 
  2. header('Content-type:text/html;charset=utf-8'); 
  3. $mysqli = new mysqli("127.0.0.1","root","root","test"); 
  4. $mysqli->query('set names utf8'); 
  5. $select = $mysqli->prepare("select id,title,cookies,sta,lid from admins where id > ?"); 
  6. $id = "1"
  7. $select->bind_param("i",$id); 
  8. $select->bind_result($id,$title,$cookies,$sta,$lid); 
  9. $select->execute(); 
  10. while ($select->fetch()) { 
  11.   echo $id."---".$title."---".$cookies."---".$sta."---".$lid."<br>"
  12. $select->close(); 
  13. $mysqli->close(); 

接下来,咱们就该看下这两种语句分别支持什么样子的sql了。

第一种呢,它支持insert、update、delete这三种类型的sql,第二种嘞,就是查询语句了。

完事那个bind_param里的那个i,就是咱们传入参数的类型了,具体介绍如下:

i - integer(整型)

d - double(双精度浮点型)

s - string(字符串)

b - BLOB(binary large object:二进制大对象)

我们传入的每个参数都需要指定类,这样通过告诉数据库参数的数据类型,可以降低 SQL 注入的风险。

好啦,本次记录就到这里了。

Tags: PHP防止sql sql预处理

分享到:

相关文章