本文实例讲述了PHP防止sql注入小技巧之sql预处理原理与实现方法。分享给大家供大家参考,具体如下:
我们可以把sql预处理看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。
我们来看下它有什么好处:
- 预处理语句大大减少了分析时间,只做了一次查询(虽然语句多次执行)。
- 绑定参数减少了服务器带宽,你只需要发送查询的参数,而不是整个语句。
- 预处理语句针对SQL注入是非常有用的,因为参数值发送后使用不同的协议,保证了数据的合法性。
这种预处理呢,可以通过两个方式,咱们这次要说的是mysqli。它任何时候都可以确保应用程序可以用相同的数据访问模式,比PDO要更加实用。
预处理呢,它有两种语句,一种是dml语句,另一种是dql语句。咱们先来看第一种:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
|
<?php
header( 'Content-type:text/html;charset=utf-8' );
$mysqli = new mysqli( "127.0.0.1" , "root" , "root" , "test" );
$mysqli ->query( 'set names utf8' );
$insert = $mysqli ->prepare( "insert admins (title,cookies,sta,lid) values (?,?,?,?)" );
$title = "cuijinpeng" ;
$cookies = "luyaran201314" ;
$sta = "1" ;
$lid = 1;
$insert ->bind_param( "sssi" , $title , $cookies , $sta , $lid );
$res = $insert ->execute();
if ( $res ){
echo 1;
} else {
echo $insert ->error;
echo 0;
}
$insert ->close();
$mysqli ->close();
|
第二种呢,代码如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
<?php
header( 'Content-type:text/html;charset=utf-8' );
$mysqli = new mysqli( "127.0.0.1" , "root" , "root" , "test" );
$mysqli ->query( 'set names utf8' );
$select = $mysqli ->prepare( "select id,title,cookies,sta,lid from admins where id > ?" );
$id = "1" ;
$select ->bind_param( "i" , $id );
$select ->bind_result( $id , $title , $cookies , $sta , $lid );
$select ->execute();
while ( $select ->fetch()) {
echo $id . "---" . $title . "---" . $cookies . "---" . $sta . "---" . $lid . "<br>" ;
}
$select ->close();
$mysqli ->close();
|
接下来,咱们就该看下这两种语句分别支持什么样子的sql了。
第一种呢,它支持insert、update、delete这三种类型的sql,第二种嘞,就是查询语句了。
完事那个bind_param里的那个i,就是咱们传入参数的类型了,具体介绍如下:
- i - integer(整型)
- d - double(双精度浮点型)
- s - string(字符串)
- b - BLOB(binary large object:二进制大对象)
我们传入的每个参数都需要指定类,这样通过告诉数据库参数的数据类型,可以降低 SQL 注入的风险。
好啦,本次记录就到这里了。
希望本文所述对大家PHP程序设计有所帮助。
原文链接:https://blog.csdn.net/luyaran/article/details/82178354