PHP防止SQL注入方法

原創 尘中客 2020-02-22 19:28

方法一:execute代入參數

<?php
if(count($_POST)!= 0) {

    $host = 'aaa';
    $database = 'bbb';
    $username = 'ccc';
    $password = '***';

    $num = 0;
    $pdo = new PDO("mysql:host=$host;dbname=$database", $username, $password);//創建一個pdo對象
    foreach ($_POST as $var_Key => $var_Value) {

        //獲取POST數組最大值
        $num = $num + 1;
    }

    //下標爲i的數組存儲的是商品id, 下標爲j數組的存儲的是此商品的庫存
    for($i=0;$i<$num;$i=$i+2)

    {
        //庫存下標
        $j = $i+1;

        //判斷傳遞過來的數據合法性
        if(is_numeric(trim($_POST[$i])) && is_numeric(trim($_POST[$j]))){

            //禁用prepared statements的仿真效果
            $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

           //查詢數據庫中是否存在該ID的商品
            //當調用 prepare() 時,查詢語句已經發送給了數據庫服務器,此時只有佔位符 ? 發送過去,沒有用戶提交的數據
            $stmt = $pdo->prepare("select good_id from delphi_test_content WHERE good_id = ?");
           //當調用到 execute()時,用戶提交過來的值纔會傳送給數據庫,他們是分開傳送的,兩者獨立的,SQL攻擊者沒有一點機會。
            $stmt->execute(array($_POST[$i]));

            //返回查詢結果
            $count = $stmt->rowCount();

            //如果本地數據庫存在該商品ID和庫存記錄,就更新該商品的庫存
            if($count != 0)
            {
                $stmt = $pdo->prepare("update delphi_test_content set content = ? WHERE good_id = ?");
                $stmt->execute(array($_POST[$j], $_POST[$i]));

            }

            //如果本地數據庫沒有該商品ID和庫存記錄,就新增該條記錄
            if($count == 0)
            {
                $stmt = $pdo->prepare("insert into delphi_test_content (good_id,content) values (?,?)");
                $stmt->execute(array($_POST[$i], $_POST[$j]));

            }
        }

    }
    $pdo = null;
    //關閉連接
}
?>

方法二:bindParam綁定參數
 

<?php
if(count($_POST)!= 0) {

    $host = 'aaa';
    $database = 'bbb';
    $username = 'ccc';
    $password = '***';


    $num = 0;
    $pdo = new PDO("mysql:host=$host;dbname=$database", $username, $password);//創建一個pdo對象
    foreach ($_POST as $var_Key => $var_Value) {

        //獲取POST數組最大值
        $num = $num + 1;
    }

    //下標爲i的數組存儲的是商品id, 下標爲j數組的存儲的是此商品的庫存
    for($i=0;$i<$num;$i=$i+2)

    {
        //庫存下標
        $j = $i+1;

        //判斷傳遞過來的數據合法性(此數據爲商品編號以及庫存,嚴格來說字符串全是由數字組成的)
        if(is_numeric(trim($_POST[$i])) && is_numeric(trim($_POST[$j]))){

            //查詢數據庫中是否存在該ID的商品
            $stmt = $pdo->prepare("select good_id from delphi_test_content WHERE good_id = ?");
            $stmt->execute(array($_POST[$i]));
            $stmt->bindParam(1,$_POST[$i]);
            $stmt->execute();

            //返回查詢結果
            $count = $stmt->rowCount();

            //如果本地數據庫存在該商品ID和庫存記錄,就更新該商品的庫存
            if($count != 0)
            {
                $stmt = $pdo->prepare("update delphi_test_content set content = ? WHERE good_id = ?");
                $stmt->execute(array($_POST[$j], $_POST[$i]));
                $stmt->bindParam(1,$_POST[$j]);
                $stmt->bindParam(2,$_POST[$i]);
                $stmt->execute();
            }

            //如果本地數據庫沒有該商品ID和庫存記錄,就新增該條記錄
            if($count == 0)
            {
                $stmt = $pdo->prepare("insert into delphi_test_content (good_id,content) values (?,?)");
                $stmt->bindParam(1,$_POST[$i]);
                $stmt->bindParam(2,$_POST[$j]);
                $stmt->execute();
            }
        }

    }
    $pdo = null;
    //關閉連接
}
?>

塵中客
發佈了55 篇原創文章 · 獲贊 32 · 訪問量 18萬+
私信 關注
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

常用Linux命令、包括vi 、svn

PS: http://man.linuxde.net/vi /etc/init.d/network restart //=========================================== 更新腳本 cd /www/scr

Ocean_K 2023-08-15 21:24:17

幾種網絡異常的原因

低級錯誤 文件名和類名 不一致,導致找不到類 這種最好不要複製粘貼,而是用命令生成文件.  複製粘貼太容易出錯了. 數據庫連接端口寫錯了,結果頁面總是超時, 記住:沒開啓報錯,  遇到錯誤先開啓報錯,查日誌 // .html結尾的,或者一些

原創 2023-02-27 21:46:28

寫好php程序

編寫安全的代碼,做好輸入校驗過濾, 空值情況,邊界條件 可讀性好,別人容易接手.易展性,可維護. 持續優化,重構 不使用引用 ,會造成不可預知的錯誤. unset 只是取消引用,不會銷燬空間; 考慮 php版本兼容問題

原創 2023-02-27 21:46:24

JetBrains 官宣:PHP 基金會成立

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

闫园园 2021-11-23 17:28:57

服務器端編程語言報告出爐,PHP 獨佔鰲頭十幾年

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragr

辛晓亮 2021-09-14 16:43:53

PHP沒你想的那麼糟糕

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

Iain Cambridge 2021-07-28 14:58:50

PHP Git服務器被入侵,黑客向源代碼中添加後門

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

万佳 2021-03-31 13:03:50

InfoQ 編程語言 2 月排行榜,更好的投票活動來了

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

InfoQ 中文站 2021-03-22 18:34:58

基於Thrift的java和PHP互相調用範例

首先我們看看 Thrift是什麼? thrift是一個軟件框架,用來進行可擴展且跨語言的服務的開發。它結合了功能強大的軟件堆棧和代碼生成引擎,以構建在 C++, Java, Go,Python, PHP, Ruby, Erlang, Per

原創 2021-02-01 09:08:26

php中??和?:區別

??和?:區別: $headerVal = 0; $this->params = $headerVal ?? 2; 相當於 isset($headerVal) ? $headerVal : 2; //結果是0 $this->params

原創 2021-01-30 10:16:08

php函數in_array()被你忽略的東西.

php函數in_array()在未啓用嚴格模式情況下,廢話不多說直接上代碼,如下: #php.net官網實例 $array = array( 'egg' => true, 'cheese' => false, 'hair' => 76

原創 2021-01-30 10:16:08

phpDoc reference

PHPDoc reference @api 表示這是一個提供給第三方使用的API接口 @author 作者 [@author](https://my.oschina.net/arthor) 名稱 <郵箱> 例 [@author](https

原創 2021-01-30 10:16:08

PHP規範PSR2

PSR標準 - PSR-2 爲了儘可能的提升閱讀其他人代碼時的效率,下面例舉了一系列的通用規則,特別是有關於PHP代碼風格的。 各個成員項目間的共性組成了這組代碼規範。當開發者們在多個項目中合作時,本指南將會成爲所有這些項目中共用的一組代碼

技客大爆炸 2021-01-30 10:16:08

InfoQ 編程語言1月排行榜:邀你投票

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

InfoQ 中文站 2021-01-21 17:28:56

2021年最值得學習的10種編程語言

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

Statistics and Data 2021-01-19 14:13:58