久久久久久久视色,久久电影免费精品,中文亚洲欧美乱码在线观看,在线免费播放AV片

<center id="vfaef"><input id="vfaef"><table id="vfaef"></table></input></center>

<p id="vfaef"><kbd id="vfaef"></kbd></p>

<pre id="vfaef"><u id="vfaef"></u></pre>

<thead id="vfaef"><input id="vfaef"></input></thead>

當(dāng)前位置：站長資訊網(wǎng) > 編程知識(shí) > 正文

一文解析PHP的預(yù)處理查詢?cè)趺捶乐筍QL注入

2023-03-12 分類：編程知識(shí) 閱讀(2309) 評(píng)論(0)

本篇文章給大家?guī)砹岁P(guān)于php的相關(guān)知識(shí)，其中主要跟大家聊一聊什么是預(yù)處理語句？PHP的預(yù)處理查詢是如何防止SQL注入的？感興趣的朋友下面一起來看一下吧，希望對(duì)大家有幫助。

一文解析PHP的預(yù)處理查詢?cè)趺捶乐筍QL注入

PHP的預(yù)處理查詢是如何防止SQL注入的？

目前最有效的防止 sql 注入的方式使用預(yù)處理語句和參數(shù)化查詢。

以最常用的 PHP PDO 擴(kuò)展為例。

官方文檔中對(duì)預(yù)處理語句的介紹

什么是預(yù)處理語句？

可以把它看作是想要運(yùn)行的 SQL 的一種編譯過的模板，它可以使用變量參數(shù)進(jìn)行定制。

預(yù)處理語句的兩大好處：

1；查詢僅需解析（或預(yù)處理）一次，但可以用相同或不同的參數(shù)執(zhí)行多次。當(dāng)查詢準(zhǔn)備好后，數(shù)據(jù)庫將分析、編譯和優(yōu)化執(zhí)行該查詢的計(jì)劃。對(duì)于復(fù)雜的查詢，此過程要花費(fèi)較長的時(shí)間，如果需要以不同參數(shù)多次重復(fù)相同的查詢，那么該過程將大大降低應(yīng)用程序的速度。通過使用預(yù)處理語句，可以避免重復(fù)分析 / 編譯 / 優(yōu)化周期。簡言之，預(yù)處理語句占用更少的資源，因而運(yùn)行得更快。

2.提供給預(yù)處理語句的參數(shù)不需要用引號(hào)括起來，驅(qū)動(dòng)程序會(huì)自動(dòng)處理。如果應(yīng)用程序只使用預(yù)處理語句，可以確保不會(huì)發(fā)生 SQL 注入。（然而，如果查詢的其他部分是由未轉(zhuǎn)義的輸入來構(gòu)建的，則仍存在 SQL 注入的風(fēng)險(xiǎn)）。

PDO 的特性在于驅(qū)動(dòng)程序不支持預(yù)處理的時(shí)候，PDO 將模擬處理，此時(shí)的預(yù)處理-參數(shù)化查詢過程在 PDO 的模擬器中完成。PDO 模擬器根據(jù) DSN 中指定的字符集對(duì)輸入?yún)?shù)進(jìn)行本地轉(zhuǎn)義，然后拼接成完整的 SQL 語句，發(fā)送給 MySQL 服務(wù)端。

所以，PDO 模擬器能否正確的轉(zhuǎn)義輸入?yún)?shù)，是攔截 SQL 注入的關(guān)鍵。

小于 5.3.6 的 PHP 版本，DSN (Data Source Name) 是默認(rèn)忽略 charset 參數(shù)的。這時(shí)如果使用 PDO 的本地轉(zhuǎn)義，仍然可能導(dǎo)致 SQL 注入。

因此，像 Laravel 框架底層會(huì)直接設(shè)置 PDO::ATTR_EMULATE_PREPARES=false，來確保 SQL 語句和參數(shù)值在被發(fā)送到 MySQL 服務(wù)器之前不會(huì)被 PHP 解析。

PHP 的實(shí)現(xiàn)


// 查詢 $calories = 150; $colour = 'red';   $sth = $dbh->prepare('SELECT name, colour, calories FROM fruit WHERE calories < :calories AND colour = :colour');   $sth->bindValue(':calories', $calories, PDO::PARAM_INT);   $sth->bindValue(':colour', $colour, PDO::PARAM_STR);   $sth->execute();
登錄后復(fù)制


// 插入，修改，刪除 $preparedStmt = $db->prepare('INSERT INTO table (column) VALUES (:column)'); $preparedStmt->execute(array(':column' => $unsafeValue));
登錄后復(fù)制

Laravel 的底層實(shí)現(xiàn)


// 查詢的實(shí)現(xiàn) public function select($query, $bindings = [], $useReadPdo = true) {     return $this->run($query, $bindings, function ($query, $bindings) use ($useReadPdo) {         if ($this->pretending()) {                 return [];         }         $statement = $this->prepared(                 $this->getPdoForSelect($useReadPdo)->prepare($query)         );         $this->bindValues($statement, $this->prepareBindings($bindings));         $statement->execute();         return $statement->fetchAll();     }); } // 修改刪除的實(shí)現(xiàn) public function affectingStatement($query, $bindings = []) {     return $this->run($query, $bindings, function ($query, $bindings) {         if ($this->pretending()) {                 return 0;         }         $statement = $this->getPdo()->prepare($query);         $this->bindValues($statement, $this->prepareBindings($bindings));         $statement->execute();         $this->recordsHaveBeenModified(                 ($count = $statement->rowCount()) > 0         );         return $count;     }); }
登錄后復(fù)制

推薦學(xué)習(xí)：《PHP視頻教程》

贊(0)

標(biāo)簽：exec php set source 數(shù)據(jù)庫服務(wù)器驅(qū)動(dòng)程序

相關(guān)推薦

網(wǎng)站地圖滬ICP備18035694號(hào)-2

滬公網(wǎng)安備31011702889846號(hào)