<?php
$name = $_GET['name'];
$dbh->query("SELECT FROM users WHERE name='{$name}'");
那么当用户输入的 name 为 Python'; DELETE FROM user;' 时会变成什么?
SELECT FROM users WHERE name='Python'; DELETE FROM user;'';
这条语句运行一下,会创造什么? 我们的 user 表被清空啦,很恐怖,对不对,以是我们须要对用户的输入进行过滤处理,例如下面的 PHP 语句,哀求用户输入的名称 name 必须是字母、数字及下划线的组合,且用户名长度为 8 到 20 个字符之间,<?php
if (preg_match("/^\w{8,20}$/", $_GET['name'], $matches))
$dbh->query("SELECT FROM tbl_language WHERE name=$matches[0]");
else
echo "username 输入非常";
防止 SQL 注入要诀,防止 SQL 注入,我们须要把稳以下几个要点,永久不要信赖用户的输入,对用户的输入进行校验,可以通过正则表达式,或限定长度;对单引号和双 "-" 进行转换等,永久不要利用动态拼装 SQL ,可以利用 SQL 预处理语句,永久不要利用管理员权限的数据库连接,为每个运用利用单独的权限有限的数据库连接,不要把机密信息直接存放,加密或者 hash 掉密码和敏感的信息,运用的非常信息该当给出尽可能少的提示,最好利用自定义的缺点信息对原始缺点信息进行包装,SQL 注入的检测方法一样平常采纳赞助软件或网站平台来检测,防止 SQL 注入Perl和 PHP 中可以对用户输入的数据进行转义从而来防止 SQL 注入,PHP 中可以利用 PHP_PDO 的 PDO:prepare() 方法来预处理 SQL 语句,然后利用 PDOStatement::bindParam() 方法绑定参数,或者在 PDOStatement::execute() 传入参数来预防 SQL 注入
<?php
$stmt = $dbh->prepare("SELECT FROM tbl_language WHERE name=?");
$stmt->execute(array$_GET['name']));
LIKE 子句语句中的 SQL 注入,利用 LIKE 子句查询时,如果用户输入的值有 _ 或 %,则会涌现下面这种情形,用户本来只是想查询 abcd%,查询结果中却有 abcd_、abcde、abcdf 等等,PHP 脚本中,我们首先要利用 addcslashes($name,"%_") 对输入的字符进行转义,然后利用 PHP_PDO 的 PDO:prepare() 方法来预处理 SQL 语句,然后利用 PDOStatement::bindParam() 方法绑定参数,或者在 PDOStatement::execute() 传入参数来预防 SQL 注入
$name = 'thon%';
$name = addcslashes($name,"%_");
$stmt = $dbh->prepare("SELECT FROM tbl_language WHERE name LIKE ? ");
$stmt->execute(array( '%'.$name));
