PHP + Mysql 登录功能防止SQL注入的一个办法
来源:互联网 发布:阿里云 80端口 编辑:程序博客网 时间:2024/05/17 20:29
最近在了解SQL注入,发现很多人登录功能都是同时使用用户输入的username和password,组合到一条sql语句里面,查询判断有无结果来判定是否可登录。例如下面:
<?php$username = $_POST['username'];$password = $_POST['password'];$sql = "select * from user where username='{$username}' and password='{$password}' ";$this->db->query($sql);
这样很容易在 username参数加入 ‘ or 1=1 -- 注入,虽然这只是示例,但现在很多使用框架,一不注意,最终组合成的语句也是类似这样的。这里不说输入参数过滤、参数绑定,语法分析等常用办法去应对SQL注入,我们可以转变一下判断方法:
<?php$username = $_POST['username'];$password = $_POST['password'];$sql = "select * from user where username='{$username}' ";$data = $this->db->query($sql);......if($data['password'] == $password){//密码OK}else{//密码错误}
这样先查到数据,再用php本身来判断是否匹配密码,是不是解决了问题了?
!!!个人遇见,如有不足,欢迎指正。
阅读全文
0 0
- PHP + Mysql 登录功能防止SQL注入的一个办法
- 防止sql注入的办法
- sql注入防止办法
- sql注入防止办法
- c# 登录 防止sql注入 mysql数据库
- php mysql防止sql注入详细说明
- php mysql 安全 防止SQL注入
- php mysql防止sql注入详解
- Sql Server 注入防止办法
- PHP 防止 SQL 注入
- php防止sql注入
- php防止sql注入
- php 防止sql注入
- php防止sql注入
- PHP 防止SQL注入
- php防止sql注入
- php防止sql注入
- PHP防止sql注入
- 使用spring容器管理和配置netty
- 数据库中表字段已存入数据,如何修改表字段的类型?
- 纯前端也得了解学习服务器端
- 阿里AI工程师教你如何用CNN RNN Attention解决大规模文本分类问题
- Echarts2 自定义悬浮框提示色
- PHP + Mysql 登录功能防止SQL注入的一个办法
- Kotlin 学习之类和继承
- app上架appstore流程
- 详解小程序事件对象中的参数
- 游戏编程之DirectX的修炼:三(DirectX的初始化:下)
- python 多线程join()
- SQL行列转换
- 数组去重
- [shell] tr用法