微信公众号 讲师中心
首页
文章
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 后端开发 数据库 移动端 运维开发 计算机基础
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机/移动开发 手机游戏
搜索
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程
自媒体 新闻
首页 > 博客列表 > PHP:PDO预处理机制在防SQL注入的作用/PDO CURD预处理/PDO预处理中bindValue与bindParam的不同之处
博主信息
博文 70
粉丝 4
评论 5
访问量 123922
专题推荐
更多>
相关推荐
热门教程
更多>
相关教程
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
PHP:PDO预处理机制在防SQL注入的作用/PDO CURD预处理/PDO预处理中bindValue与bindParam的不同之处
JiaJieChen
原创
1451人浏览过

PHP:PDO预处理机制在防SQL注入的作用/PDO CURD预处理/PDO预处理中bindValue与bindParam的不同之处

一.PDO预处理机制在防SQL注入的作用

  • pdo预处理机制 防止sql注入
  • pdo使用 ?参数占位符 或者 命名占位符 :name
需要使用到的方法 含义
prepare() 准备一条将要执行的预处理语句 返回的是pdo statement 对象
bindParam() 绑定一个参数到指定的变量名
execute() 执行一条预处理语句

①未防止SQL注入之前


‘ or 1=1 # 这个是一条SQL注入语句,我的数据库中没有这个账号,我们没有防止SQL注入造成的后果就是,别人随便用一条SQL语句就可以获取到我们服务器中的账号和密码,后果非常严重,所以在用户登入的时候一定要防止SQL注入

②防止SQL注入之后


大家可以看到防止SQL注入之后就获取不到我们服务器里面的信息啦!所以在做登入界面的时候一定不要忘记了防止SQL注入哦!

防止SQL注入代码块

  1. /pdo预处理机制  防止sql注入
  2. //pdo使用 ?参数占位符 或者 命名占位符 :name 
  3. $select = "SELECT `uname`, `pwd` FROM user WHERE `uname` = '?';";
  5. //prepare()方法 - 准备一条将要执行的预处理语句 返回的是pdo statement 对象
  6. //bindParam()绑定一个参数到指定的变量名
  7. //execute() 执行一条预处理语句
  8. $stmt = $pdo->prepare($select);
  9. $stmt->bindParam(1,$username,PDO::PARAM_STR);
  10. $stmt->execute();
  11. $res = $stmt->fetch();

二.PDO CURD预处理

①查询 SELECT FROM

SELECT FROM 代码块

  1. /*
  2. * ①查询 SELECT FROM
  3. */
  4. $username = 'a123456';
  5. $sql = "SELECT * FROM  user WHERE `uname` = ? ;";
  6. $stmt = $pdo->prepare($sql);
  7. $stmt->bindParam(1,$username);
  8. $stmt->execute();
  12. if ($stmt->rowCount() > 0) {
  13.     echo "查找成功".$stmt->rowCount()."记录";
  14. }

②增加 INSERT INTO

INSERT INTO 代码块

  1. $SQL = "INSERT INTO `user` SET `uname` = ? ,`pwd` = ? ,`create_time` = ? ; ";
  2. $stmt = $pdo->prepare($SQL);
  4. $username = 'a888';
  5. $password = 'a888';
  6. $create_time = time();
  8. $stmt->bindParam(1,$username);
  9. $stmt->bindParam(2,$password);
  10. $stmt->bindParam(3,$create_time);
  12. $stmt->execute();
  14. if ($stmt->rowCount() > 0) {
  15.     echo "增加成功".$stmt->rowCount()."记录,新增id:".$pdo->lastInsertId();
  16. }

③更新 UPDATE SET

UPDATE SET 代码块

  1. $sql = "UPDATE `user` SET `uname` = ? WHERE `id` = ?; ";
  2. $stmt = $pdo->prepare($sql);
  3. $stmt->execute(['a999',3]);
  5. if ($stmt->rowCount() >0) {
  6.     echo "更新成功".$stmt->rowCount()."条记录";
  7. }

④删除 DELETE FROM

DELETE FROM 代码块

  1. $sql = "DELETE FROM `user` WHERE `id` = ? ;";
  2. $stmt = $pdo->prepare($sql);
  3. $stmt->execute([3]);
  5. if ($stmt->rowCount() >0) {
  6.     echo "删除成功".$stmt->rowCount()."记录";
  7. }

三.PDO预处理中bindValue与bindParam的不同之处

  • bindParam()和bindValue()之间的区别:

  • bindParam()

    • bindParam()函数将参数绑定到SQL语句中的命名或问号占位符。

    • bindParam()函数用于传递变量而不是值。

  • bindValue()

    • bindValue()函数将值绑定到SQL语句中的命名或问号。

    • bindValue()函数用于传递值和变量。

①bindParam()

bindParam 代码块

  1. $stmt->bindParam(1,$username);
  2. $stmt->bindParam(2,$password);
  3. $stmt->bindParam(3,$create_time);

②bindValue()

bindValue 代码块

  1. $stmt->bindValue(1,"a888");
  2. $stmt->bindValue(2,"a888");
  3. $stmt->bindValue(3,time());
批改老师:灭绝师太灭绝师太

批改状态:合格

老师批语:
本博文版权归博主所有,转载请注明地址!如有侵权、违法,请联系admin@php.cn举报处理!
全部评论 文明上网理性发言,请遵守新闻评论服务协议
0条评论
作者最新博文
关于我们 免责申明 意见反馈 讲师合作 广告合作 最新更新 English
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送
PHP中文网APP
随时随地碎片化学习

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部
    • 登录PHP中文网,和优秀的人一起学习!
    全站2000+教程免费学
    微信扫码登录