这篇文章主要介绍了PHP使用PDO实现mysql防注入功能,结合实例形式详细分析了PHP使用pdo操作mysql防注入原理、实现方法及相关注意事项,需要的朋友可以参考下

本文实例讲述了PHP使用PDO实现mysql防注入功能，分享给大家供大家参考，具体如下：

1、什么是注入攻击

例如下例：

前端有个提交表格：

1. <form action="test.php" method="post">
2. 姓名：<input name="username" type="text">
3. 密码：<input name="password" type="password">
4. <input type="submit" value="登陆">
5. </form>

后台的处理如下：

1. <?php
2. $username=$_POST["username"];
3. $password=$_POST["password"];
4. $age=$_POST["age"];
5. //连接数据库，新建PDO对象
6. $pdo=new PDO("mysql:host=localhost;dbname=phpdemo","root","1234");
7. $sql="select * from login WHERE username='{$username}' AND password='{$password}' ";
8. echo $sql;
9. $stmt=$pdo->query($sql);
10. //rowCount()方法返回结果条数或者受影响的行数
11. if($stmt->rowCount()>0){ echo "登陆成功!"};

正常情况下，如果你输入姓名为小王，密码xiaowang，会登陆成功，sql语句如下：select * from login WHERE username='小王' AND password='xiaowang' 登陆成功！

但是如果你输入姓名为 ' or 1=1 #,密码随便输一个，也会登陆成功，sql语句为：select * from login WHERE username='' or 1=1 #' AND password='xiaowang' 登陆成功！

可以看到username='' or 1=1，#注释调了之后的password语句，由于 1=1恒成立，因此这条语句会返回大于1的结果集，从而使验证通过。

2、使用quote过滤特殊字符，防止注入

在sql语句前加上一行，将username变量中的‘等特殊字符过滤，可以起到防止注入的效果

1. //通过quote方法,返回带引号的字符串，过滤调特殊字符
2. $username=$pdo->quote($username);
3. $sql="select * from login WHERE username={$username} AND password='{$password}' ";
4. echo $sql;
5. $stmt=$pdo->query($sql);
6. //rowCount()方法返回结果条数或者受影响的行数
7. if($stmt->rowCount()>0){
8. echo "登陆成功！";
9. };

sql语句为：select * from login WHERE username='\' or 1=1 #' AND password='xiaowang'

可以看到“'”被转义\'，并且自动为变量$username加上了引号

3、通过预处理语句传递参数，防注入

1. //通过占位符:username,:password传递值，防止注入
2. $sql="select * from login WHERE username=:username AND password=:password";
3. $stmt=$pdo->prepare($sql);
4. //通过statement对象执行查询语句，并以数组的形式赋值给查询语句中的占位符
5. $stmt->execute(array(':username'=>$username,':password'=>$password));
6. echo $stmt->rowCount();

其中的占位符也可以为？

1. //占位符为？
2. $sql="select * from login WHERE username=? AND password=?";
3. $stmt=$pdo->prepare($sql);
4. //数组中参数的顺序与查询语句中问号的顺序必须相同
5. $stmt->execute(array($username,$password));
6. echo $stmt->rowCount();

4、通过bind绑定参数

bindParam()方法绑定一个变量到查询语句中的参数：

1. $sql="insert login(username,password,upic,mail) values(:username,:password,:age,:mail)";
2. $stmt=$pdo->prepare($sql);
3. //第三个参数可以指定参数的类型PDO::PARAM_STR为字符串，PDO::PARAM_INT为整型数
4. $stmt->bindParam(":username",$username,PDO::PARAM_STR);
5. $stmt->bindParam(":password",$password,PDO::PARAM_STR);
6. $stmt->bindParam(":age",$age,PDO::PARAM_INT);
7. //使用bindValue()方法绑定一个定值
8. $stmt->bindValue(":mail",'default@qq.com');
9. $stmt->execute();
10. echo $stmt->rowCount();

使用问号做占位符：

1. $sql="insert login(username,password,mail) values(?,?,?)";//注意不是中文状态下的问号？
2. $stmt=$pdo->prepare($sql); //按照?的顺序绑定参数值
3. $stmt->bindParam(1,$username);
4. $stmt->bindParam(2,$password);
5. $stmt->bindValue(3,'default@qq.com');
6. $stmt->execute();
7. echo $stmt->rowCount();

使用其中bindValue()方法给第三个占位符绑定一个常量'default@qq.com'，它不随变量的变化而变化。

bindColumn()方法绑定返回结果集的一列到变量：

1. $sql='SELECT * FROM user';
2. $stmt=$pdo->prepare($sql);
3. $stmt->execute();
4. $stmt->bindColumn(2,$username);
5. $stmt->bindColumn(4,$email);
6. while($stmt->fetch(PDO::FETCH_BOUND)){
7. echo '用户名：'.$username.",邮箱：".$email.'<hr/>';
8. }