Community Learn Tools Library Leisure
search
English
Home > List of blog posts > 初识pdo,与防sql注入
Blogger Information
Blog 30
fans 1
comment 0
visits 16063
Special Recommendation
More>
Related recommendations
Popular Tutorials
More>
Related Tutorials
Popular Recommendations
Latest courses
Latest Downloads
More>
Web Effects
Website Source Code
Website Materials
Front End Template
初识pdo,与防sql注入
moon
Original
684 people have browsed it

使用PDO链接mysql数据库

  • PDO(PHP数据对象) 是一个轻量级的、具有兼容接口的PHP数据连接拓展,是一个PHP官方的PECL库,随PHP 5.1发布,需要PHP 5的面向对象支持,因而在更早的版本上无法使用。它所提供的数据接入抽象层,具有与具体数据库类型无关的优势,为它所支持的数据库提供统一的操作接口。目前支持多种数据库等。由于PDO是在底层实现的统一的数据库操作接口,因而利用它能够实现更高级的数据库操作,比如存储过程的调度等。

  • 创建数据库配置文件database.php

  1. <?php
  2. return [
  3.     'type' => $type ?? 'mysql',
  4.     'username' => $username ?? 'root',
  5.     'password' => $password ?? '',
  6.     'host' => $host ?? 'localhost',
  7.     'port' => $port ?? '3308',
  8.     'charset' => $charset ?? 'utf8',
  9.     'dbname' => 'chloe'
  10. ];
  • 创建connet.php文件引入database.php配置文件,并且链接数据库
  1. // 1. 把数据库连接配置文件引过来
  2. $config = require_once __DIR__ . DIRECTORY_SEPARATOR . 'config' . DIRECTORY_SEPARATOR . 'database.php';
  3. extract($config);
  6. //dsn  data source name 数据源名称 包括pdo驱动名称,host,port,数据库名称。
  7. // $dsn = 'mysql:host=localhost;port=3308;dbname=chloe';
  8. // $username = 'roots';
  9. // $password = '';
  10. // $pdo = new PDO($dsn, $username, $password);
  11. // var_dump($pdo);
  12. $dsn = sprintf('%s:host=%s;port=%s;charset=%s;dbname=%s', $type, $host, $port, $charset, $dbname);
  13. try {
  14.     $pdo = new PDO($dsn, $username, $password);
  15.     // var_dump($pdo);
  16. } catch (PDOException $e) {
  17.     die('Connection error : ' . $e->getMessage());
  18. }

防sql语句注入

  • sql注入就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
    例如一个简单的登录表单(这里把密码写成明文方便说明):

sql注入语句

当在表单中填写这样的语句进行提交登录时会出现这样的SQL语句

  1. select * from t_admin where admin_name='xxx' and admin_pwd='xxx'' or '1'

这样会查询出所有的用户信息,所有存在不安全隐患

  • 如何预防sql注入
    1.使用pdo预处理接入
  1. // 准备一条预处理sql语句
  2. $sql = "SELECT * FROM `user` WHERE `username`= ? AND `password` = ? ";
  3. // 准备要执行的语句,并返回语句对象
  4. $stmt = $pdo->prepare($sql);
  5. // 绑定参数到指定的变量名
  6. $stmt->bindParam(1, $name);
  7. $stmt->bindParam(2, $pwd);
  9. // 执行一条预处理语句
  10. $stmt->execute();
  12. $res = $stmt->fetchAll(PDO::FETCH_ASSOC);
Correcting teacher:PHPzPHPz

Correction status:qualified

Teacher's comments:
Statement of this Website
The copyright of this blog article belongs to the blogger. Please specify the address when reprinting! If there is any infringement or violation of the law, please contact admin@php.cn Report processing!
All comments Speak rationally on civilized internet, please comply with News Comment Service Agreement
0 comments
Author's latest blog post