温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

记录一下学习PDO技术防范SQL注入的方法

发布时间:2020-08-01 12:38:26 来源:网络 阅读:5139 作者:菜鹅小生 栏目:安全技术

最近学习了使用PDO技术防范SQL注入的方法,在博客里当做一次笔记。若果有新的感悟在来添上一笔,毕竟也是刚开始学习。
一、 什么是PDO

PDO全名PHP Data Object
PHP 数据对象 (PDO) 扩展为PHP访问数据库定义了一个轻量级的一致接口。
PDO 提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。

二、如何去使用PDO防范SQL注入
/
防范sql注入这里使用quote()方法过滤特殊字符和通过预处理的一些方式以及bindParameter()方法绑定参数来防止SQL注入
/
三、 使用quate()方法防止sql注入。

Quate()方法返回带引号的字符串,过滤特殊字符

1、首先创建一个登陆界面来提交用户名和密码。

</!DOCTYPE html>
<html>
<head>
    <title></title>
</head>
<body>
        <form action="doAction1.php" method="post">
            <input type="text" name="username"></br>
            <input type="password" name="password"></br>
            <input type="submit" name="submit">
        </form>
</body>
</html>

2、然后创建后台处理PHP文件,获取用户名和密码,并在数据库中查询。基本的查询方法来查询。

<?php
header('content-type=text/html;charset=utf-8');
$username=$_POST['username'];
$password=$_POST['password'];
try{
    $pdo=new PDO('mysql:host=localhost;dbname=pdotest','root','123');
    $sql="select * from user where name=‘{$username}’ and password=‘{$password}’";
    echo $sql."</br>";
    $row=$pdo->query($sql);
    foreach ($row as $key => $value) {
        print_r($value);
    }

}catch(POOException $e){
    echo $e->getMessage();
}

这个处理界面是由SQL注入的界面。
3、我们来测试一下
(1)在文本框中输入正确的用户名和密码,返回正常的信息
记录一下学习PDO技术防范SQL注入的方法
但是当我们进行注入的时候,返回的信息:
(2)用户名输入’ or 1=1 #,密码随便输入
记录一下学习PDO技术防范SQL注入的方法
将数据库中的用户信息以数组的形式全部显示了出来。
(3)我们在数据库中执行这串查询语句
记录一下学习PDO技术防范SQL注入的方法
可以看到,数据库照常显示,这也是sql注入一个很大的危害。
4、接下来我们通过quote()方法来防止SQL注入
通过以下代码,将new的对象$pdo通过调用quote()方法来重新返回用户输入的字符串,然后在通过查询语句,去查询数据库中的数据。

<?php
header('content-type=text/html;charset=utf-8');
$username=$_POST['username'];
$password=$_POST['password'];
try{
    $pdo=new PDO('mysql:host=localhost;dbname=pdotest','root','123');
     $username=$pdo->quote($username);
     $password=$pdo->quote($password);
    $sql="select * from user where name='{$username}' and password='{$password}'";
    echo $sql."</br>";
    $row=$pdo->query($sql);
    foreach ($row as $key => $value) {
        print_r($value);
    }

}catch(POOException $e){
    echo $e->getMessage();
}

5、我们来使用同样的方法来测试一下能不能防范sql注入呢?
(1)正确用户名和正确密码验证:
记录一下学习PDO技术防范SQL注入的方法
(2)正确用户名和错误密码访问
记录一下学习PDO技术防范SQL注入的方法
查询不到数据
(3)使用sql注入:
记录一下学习PDO技术防范SQL注入的方法
查询失败,我们可以清楚的看到我们输入的引号在前面自动的加上了‘\’,将引号给转义,失去了原来的作用。
(4)同时我们在数据库中执行一下这个语句。
记录一下学习PDO技术防范SQL注入的方法
查询出错。所以quote()方法能够有效的防止sql注入
四、 使用预处理语句防止SQL注入
预处理语句中占位符形式来防止SQL注入。占位符有两种形式,一种是通过命名参数,另一种是通过问好占位符的形式
1、通过命名参数防止注入
(1)首先在原来基础的源码上改正查询语句。改为:
Select * from where name=:username and password=:password
整个源码:

<?php
header('content-type:text/html;charset=utf-8');
$username=$_POST['username'];
$password=$_POST['password'];
try{
    $pdo=new PDO('mysql:host=localhost;dbname=pdotest','root','123');
    $sql='select * from user where name=:username and password=:password';
    $stmt=$pdo->prepare($sql);
    $stmt->execute(array(":username"=>$username,":password"=>$password));
    echo $stmt->rowCount();
}catch(PDOException $e){
    echo $e->getMessage();
}
?>

解释:
a):命名用户名参数:username密码:password。
b):通过调用rowCount()方法,查看返回受sql语句影响的行数,返回0语句执行失败,大于等于1,语句执行成功。
测试:
(1)正常访问:用户名zhangsan,密码:123
记录一下学习PDO技术防范SQL注入的方法
(2)错误密码访问:
记录一下学习PDO技术防范SQL注入的方法
(3)Sql注入语句访问:
记录一下学习PDO技术防范SQL注入的方法
防止注入失败

2、通过问号(?)占位符防止注入
(1)修改sql查询语句:
Select * from user where name=? and password=?
完整代码:

<?
header('content-type:text/html;charset=utf-8');
$username=$_POST['username'];
$password=$_POST['password'];
try{
    $pdo=new PDO('mysql:host=localhost;dbname=pdotest','root','123');
    $sql="select * from user where name=? and password=?";
    $stmt=$pdo->prepare($sql);
    $stmt->execute(array($username,$password));
    echo $stmt->rowCount();

}catch(PDOException $e){
    echo $e->getMessage();
}
?>

解释:通过execute()方法直接传递数组array($username,$password)给sql语句查询。
测试:
(1)正常访问:用户名:lisi,密码:abc
记录一下学习PDO技术防范SQL注入的方法
(2)错误用户名或密码访问
记录一下学习PDO技术防范SQL注入的方法
(3)Sql注入:
记录一下学习PDO技术防范SQL注入的方法
注入失败
五、 通过bindParam()方法绑定参数防御SQL注入。

<?php
header('content-type:text/html;charset=utf-8');
$username=$_POST['username'];
$password=$_POST['password'];
try{
    $pdo=new PDO('mysql:host=localhost;dbname=pdotest','root','123');
    $sql='select * from user where name=:username and password=:password';
    $stmt=$pdo->prepare($sql);
    $stmt->bindParam(":username",$username,PDO::PARAM_STR);
    $stmt->bindParam(":password",$password,PDO::PARAM_STR);
    $stmt->execute();
    echo $stmt->rowCount();

}catch(PDOException $e){
    echo $e->getMessage();
}
?>

(1)关键代码:
$stmt->bindParam(":username",$username,PDO::PARAM_STR);
$stmt->bindParam(":password",$password,PDO::PARAM_STR);

解释:
a)::username和:password为命名参数
b):$username;$password为获取的变量,即用户名和密码。
c):PDO::PARAM_STR,表示参数变量的值一定要为字符串,即绑定参数类型为字符串。在bindparam()方法中,默认绑定的参数类型就是字符串。当你要接受×××的时候可以绑定参数为PDO::PARAM_INT.
测试:
(1)正常访问测试:

记录一下学习PDO技术防范SQL注入的方法
(2)测试sql注入:

记录一下学习PDO技术防范SQL注入的方法

当做是一个笔记吧还有很多的知识点没有写出来,以后再慢慢补充吧!!!

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI