预处理(防止sql注入的一种方式)

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了预处理(防止sql注入的一种方式)相关的知识,希望对你有一定的参考价值。


<!--- 预处理(预编译) --->

<?php
/*
防止 sql 注入的两种方式:
1. 人为提高代码的逻辑性,使其变得更严谨,滴水不漏。 比如说 增加判断条件,增加输入过滤等,但是智者千虑必有一失。(不推荐)
2. sql 语句的预处理
*/

// 预处理: 就是在程序正式编译之前,事先处理,因为有些功能实现是一样的,只是发生了一些简单的值替换

/*
********** 预处理的原理: *********

insert into register_info values(?,?,?,?);

01. 创建 sql语句模板,并发送到数据库。预留的值使用参数 ? 标记
02. 数据库对模板解析,编译,对sql 语句模板执行查询优化,并存储结果不输出
03. 最多将绑定的参数传给之前 ? 标记的地方,模板执行语句。如果传的参数不一样,模板就可以多次使用。但是对模板的解析只需要做一次


********** 预处理的优点 ***********

01. 预处理语句大大减少了分析时间,只做了一次增删改查(至于值被多次赋予,已经不需要数据库来操作)
02. 绑定参数减少了服务器带宽,你只需要发送查询或者增加的参数,而不是整个 sql 语句
03. 预处理语句能很好的防止 sql注入,因为参数的发送不会影响一开始对模板的解析,编译,模版又是自己定义的,根本不会有漏洞

*/



// 面向对象

// 1. 连接数据库服务器,选择数据库 register
$mysqli = new mysqli(‘localhost‘,‘root‘,‘‘,‘register‘);

if ($mysqli){
echo ‘<h2><i>连接数据库成功</i></h2>‘;

// 2. 设置字符集
$mysqli->set_charset(‘utf8‘);

// 3. 预处理的核心代码(这部分代码数据库只执行一次)
// a. 写sql语句模板 (register_info是已有的表)
$sql = "insert into register_info(id,username,password,email,tel)VALUES (?,?,?,?,?)";

// b. prepare() 方法,预处理阶段
$stmt = $mysqli->prepare($sql);


/*------------- 以下代码都是重复执行的,都是由 $stmt 对象操作 --------------*/
// a. 绑定参数 bind_param()
// 给预留的 ? 赋值,要求类型和顺序要和 ? 所表示的一致
/*
格式占位符,格式列表:
i ---> int 整型
s ---> string 字符串
d ---> double 双精度浮点型
b ---> blob(binary large object) 二进制大对象
*/

$id = 2;
$username = ‘王二‘;
$password = ‘1237890‘;
$email = ‘[email protected]‘;
$tel = ‘12345678987‘;

$stmt->bind_param(‘issss‘,$id,$username,$password,$email,$tel);

// b. 开始插入
if ($stmt->execute()){
echo ‘<h2><i>插入成功</i></h2>‘;
}else{
echo ‘<h2><i>插入失败</i></h2>‘;
}

// 4. 关闭预处理
$stmt->close();

// 5. 关闭数据库
$mysqli->close();



}else{
die(‘连接数据库失败!‘);
}












































































































以上是关于预处理(防止sql注入的一种方式)的主要内容,如果未能解决你的问题,请参考以下文章

利用HttpApplicaton请求管道防止SQL注入

MyBatis怎么防止SQL注入

ThinkPHP如何防止SQL注入?

PHP怎么防止sql注入

防止sql注入的方法都有哪些

MyBatis如何防止SQL注入