PHP防止SQL注入的案例

发布时间：2023-09-26 11:07:59 所属栏目：PHP教程来源：

导读：使用prepared以及参数绑定查询可根本性防止sql注入的发生：SQL语句与参数分批传输到sql服务器的方式让利用字符串拼接的SQL注入没有了施展空间。

基本上你有两种方式完成上述方法：

使用PDO:

$stmt = $pdo->

使用prepared以及参数绑定查询可根本性防止sql注入的发生：SQL语句与参数分批传输到sql服务器的方式让利用字符串拼接的SQL注入没有了施展空间。

基本上你有两种方式完成上述方法：

使用PDO:

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(array('name' => $name));
foreach ($stmt as $row) {
// do something with $row
}
2.使用MySQLi

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name);

$stmt->execute();
//Cuoxin.com
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// do something with $row
}
正确的配置数据库连接

注意当你用PDO方式访问MySQLs时，使用真正的prepared 语句方式并不是默认设置。所以你必须禁止模拟prepared模式：

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
以上语句中对错误模式的设置并不是必须的，但我强烈推荐加上它。这样脚本就不会因为数据库的”Fatal Error”而停止，而是抛出一个PDOExceptions,从而让你能够抓取到这个异常。

（编辑：汽车网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!