PHP避免SQL注入的例子
发布时间:2022-07-02 17:15:38 所属栏目:PHP教程 来源:互联网
导读:使用prepared以及参数绑定查询可根本性防止sql注入的发生:SQL语句与参数分批传输到sql服务器的方式让利用字符串拼接的SQL注入没有了施展空间。 基本上你有两种方式完成上述方法: 使用PDO: $stmt = $pdo-prepare(SELECT * FROM employees WHERE name = :nam
使用prepared以及参数绑定查询可根本性防止sql注入的发生:SQL语句与参数分批传输到sql服务器的方式让利用字符串拼接的SQL注入没有了施展空间。 基本上你有两种方式完成上述方法: 使用PDO: $stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name'); $stmt->execute(array('name' => $name)); 2.使用MySQLi $stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?'); $stmt->bind_param('s', $name); $stmt->execute(); //phpfensi.com $result = $stmt->get_result(); while ($row = $result->fetch_assoc()) { // do something with $row } 正确的配置数据库连接 $dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass'); $dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); $dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); 以上语句中对错误模式的设置并不是必须的,但我强烈推荐加上它。这样脚本就不会因为数据库的”Fatal Error”而停止,而是抛出一个PDOExceptions,从而让你能够抓取到这个异常。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |