php如何防止sql注入？php防sql注入代码示例

作者：

发布时间：2020-08-27

　　sql注入是一种常见的攻击方法，开发人员普遍的做法就是不停的过滤，转义参数，可是我们php大法天生弱类型的机制，总是让黑客有机可乘，绕过防御与防御总是在明争暗斗。这里就跟大家讲讲php如何防止sql注入，以及提供一些php防sql注入代码供大家参考。

php如何防止sql注入

　　php如何防止sql注入?PHP5.x开始引入了一种新的mysql操作方式-----mysqli，在php中也有一项相应的操作方式叫做PHP预处理。采用面向对象的方式来进行参数化绑定操作，由于对数据库操作的模式驱动不同，因此可以非常有效的防御sql注入。

　　首先，我们先来看一段代码例子

　　[代码]php代码：

　　01prepare($search_sql);//进行预处理操作

　　10$search_action ->bind_param("s",$keywords);//绑定参数，第一个参数表示为上面预处理的的占位符的数量和每一个参数的数据类型，s为字符串，i为整形，d为双精度小数，有几个参数，就写几个s或d或i，比如说iiii,ssss,sidi这样的。然后后面就是有几个参数就写几个要绑定的变量，比如bind_param('sss',$username,$password,$code);

　　11$search_action ->bind_result($content);//将结果绑定在相对应的变量上，比如你select了username,password,你就可以写bind_result($usernmae,$password);

　　12$search_action ->execute();//执行sql操作

　　13while($search_action ->fetch()){

　　14echo $content.'

　　15}

　　16$search_action ->free_result();//释放内存

　　17$search_action ->close();//结束这个实例化

　　19?>

　　上面是php预处理中一个非常简单的例子，它内置的其他函数能很方便我们的开发速度，那么看到这里，很多人可能还是不明白，有人可能想问，你这个绑定参数是不是还是在拼凑sql语句?如果是拼凑语句，那还不是会产生注入吗

　　这就要从他的操作原理来解释了，其实它在prepare操作中，就已经在数据库中，执行了语句，以后的绑定参数和执行，只不过是再传递数据进去而已，所以根本不会和sql语句拼接，也就自然不会将危险代码执行。因此，在这种模式下sql注入就能很有效的被防御了。

php防sql注入代码

　　三个函数：

　　addslashes($string):用反斜线引用字符串中的特殊字符' " \

　　$username=addslashes($username);

　　mysql_escape_string($string)：用反斜杠转义字符串中的特殊字符，用于mysql_query()查询。

　　$username=mysql_escape_string($username);

　　mysql_real_escape_string($string)：转义SQL语句中使用的字符串中的特殊字符，并考虑到连接的当前字符集，需要保证当前是连接状态才能用该函数，否则会报警告。不转义%与_

　　$username=mysql_real_escape_string($username);

　　两种选择：

　　使用PDO

　　$stmt = $pdo->prepare('SELECT * FROM user WHERE name = :name');

　　$stmt->execute(array(':name' => $name));

　　foreach ($stmt as $row) {

　　// do something with $row

　　}

　　使用mysqli

　　$stmt = $dbConnection->prepare('SELECT * FROM user WHERE name = ?');

　　$stmt->bind_param('s', $name);

　　$stmt->execute();

　　$result = $stmt->get_result();

　　while ($row = $result->fetch_assoc()) {

　　// do something with $row

　　关于php如何防止sql注入以及php防sql注入代码示例就为大家展示到这里，防御sql注入其实并不需要进行各种参数过滤，只需要通过上面所讲解的方法示例就能有效的防御sql注入，希望可以给大家一个参考。我们永远不要信任用户的输入，我们必须认定用户输入的数据都是不安全的，我们都需要对用户输入的数据进行过滤处理。

标签：

上一篇：怎么防止sql注入攻击？sql注入防御方法介绍

下一篇： mybatis如何防止sql注入？mybatis 防止sql注入的方法介绍

最新资讯: 企业级网络防火墙可以防护哪些方面?; 企业网络等保测评必须要做吗-企业网络等保测评的必要性分析; 云安全环境加固需要哪些措施？; 网络安全隔离设备有哪些; 网站被挂马怎么解决; web应用防火墙怎么部署?; 网络安全审计系统有哪些功能?多少钱?; 服务器卡顿动不了怎么解决; 网站中木马被反复篡改的彻底修复方法; 服务器被篡改登录不上怎么办？

相关资讯