PHP PDO 防止SQL注入
来源:互联网 发布:软件编码设计 编辑:程序博客网 时间:2024/05/16 07:45
使用PDO的好处:
1> 防止SQL注入
2> 提高执行效率 每条SQL执行前,MYSQL数据库都需要先进行编译(即便是一个空格也可能引起重新编译)。在循环执行多条数据时,使用prepare方式传入不同参数可以减少编译时间
大部分常见数据库都支持prepare语句,即便数据库不支持,pdo也会采用模拟的方式来实现,简单来说就是pdo自己对数据做quote,然后把结果拼接成sql再执行,但是这样就不能防止SQL注入了。
$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); 使用prepare方式访问数据库,如果false表示使用模拟方式(不使用prepare)
prepare方式预制语句基于三个SQL语句:
PREPARE stmt_name FROM preparable_stmt;
EXECUTE stmt_name [USING @var_name [, @var_name] ...];
{DEALLOCATE | DROP} PREPARE stmt_name;
PREPARE语句用于预备一个语句,并赋予它名称stmt_name,借此在以后引用该语句。语句名称对案例不敏感。preparable_stmt可以是一个文字字符串,也可以是一个包含了语句文本的用户变量。该文本必须展现一个单一的SQL语句,而不是多个语句。使用本语句,‘?'字符可以被用于制作参数,以指示当您执行查询时,数据值在哪里与查询结合在一起。‘?'字符不应加引号,即使您想要把它们与字符串值结合在一起,也不要加引号。参数制作符只能被用于数据值应该出现的地方,不用于SQL关键词和标识符等。
如果带有此名称的预制语句已经存在,则在新的语言被预备以前,它会被隐含地解除分配。这意味着,如果新语句包含一个错误并且不能被预备,则会返回一个错误,并且不存在带有给定名称语句。
预制语句的范围是客户端会话。在此会话内,语句被创建。其它客户端看不到它。
在预备了一个语句后,您可使用一个EXECUTE语句(该语句引用了预制语句名称)来执行它。如果预制语句包含任何参数制造符,则您必须提供一个列举了用户变量(其中包含要与参数结合的值)的USING子句。参数值只能有用户变量提供,USING子句必须准确地指明用户变量。用户变量的数目与语句中的参数制造符的数量一样多。
您可以多次执行一个给定的预制语句,在每次执行前,把不同的变量传递给它,或把变量设置为不同的值。
要对一个预制语句解除分配,需使用DEALLOCATE PREPARE语句。尝试在解除分配后执行一个预制语句会导致错误。
如果您终止了一个客户端会话,同时没有对以前已预制的语句解除分配,则服务器会自动解除分配。
以下SQL语句可以被用在预制语句中:CREATE TABLE, DELETE, DO, INSERT, REPLACE, SELECT, SET, UPDATE和多数的SHOW语句。目前不支持其它语句。
预制语句的SQL语法不能被用于带嵌套的风格中。也就是说,被传递给PREPARE的语句本身不能是一个PREPARE, EXECUTE或DEALLOCATE PREPARE语句。例如,您不能使用mysql_stmt_prepare() C API函数来预备一个PREPARE, EXECUTE或DEALLOCATE PREPARE语句。
防止SQL注入可参考下文:
PDO防注入原理分析以及使用PDO的注意事项
0 0
- PHP PDO 防止SQL注入
- php 使用PDO,防止sql注入 简单说明
- pdo 防止sql 注入原理
- pdo如何防止 sql注入
- PDO防止SQL注入详细介绍
- PDO防止sql注入的机制
- PDO防止SQL注入详细介绍
- pdo通过预处理语句防止sql注入
- pdo是如何防止 sql注入的
- 使用PDO查询mysql防止SQL注入
- PHP 防止 SQL 注入
- php防止sql注入
- php防止sql注入
- php 防止sql注入
- php防止sql注入
- PHP 防止SQL注入
- php防止sql注入
- php防止sql注入
- An overview of gradient descent optimization algorithms
- oracle新增修改表字段+注释
- 新浪分享 Insufficient app permissions!
- iOS笔记:NSURLSession
- 如何理解过拟合、正则化和交叉验证
- PHP PDO 防止SQL注入
- MongoDB学习11_MongoDB 基础(五)备份还原与导出导入
- 镶嵌数据集创建、入库
- android中Baseadapter的 getItem 和 getItemId 的作用和重写
- jquery+ajax实现跨域请求
- iptraf:一个实用的TCP/UDP网络监控工具
- 详解虚函数表virtual table
- TCP/IP协议 三次握手与四次挥手
- ORACLE使用WITH AS和HINT MATERIALIZE优化SQL解决FILTER效率低下