浅谈:在PHP中该怎样防止SQL注入

 我来答
日落的糖Kf
2018-02-22 · TA获得超过4万个赞
知道大有可为答主
回答量:3400
采纳率:0%
帮助的人:547万
展开全部

使用预处理语句和参数化查询。

禁止使用拼接sql语句,和参数类型验证,就可以完全避免sql注入漏洞!

预处理语句和参数分别发送到数据库服务器进行解析,参数将会被当作普通字符处理。这种方式使得攻击者无法注入恶意的SQL。 你有两种选择来实现该方法:

1、使用PDO:

$stmt=$pdo->prepare('SELECT * FROM employees WHERE name = :name');

$stmt->execute(array('name'=>$name));

foreach($stmtas$row) {
// do something with $row
}

2、使用mysqli:

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name);

$stmt->execute();

$result = $stmt->get_result();
while($row = $result->fetch_assoc()) {
// do something with $row
}
推荐律师服务: 若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询

为你推荐:

下载百度知道APP,抢鲜体验
使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。
扫描二维码下载
×

类别

我们会通过消息、邮箱等方式尽快将举报结果通知您。

说明

0/200

提交
取消

辅 助

模 式