【PHP】使用参数绑定防止SQL注入
2015-01-06 18:05
746 查看
<html> <head> <title>Sql注入演示</title> <meta http-equiv="content-type" content="text/html;charset=utf-8"> </head> <body > <form action="" method="post"> <fieldset> <legend>Sql注入演示</legend> <table> <tr> <td>用户名:</td> <td><input type="text" name="username"></td> </tr> <tr> <td>密 码:</td> <td><input type="text" name="password"></td> </tr> <tr> <td><input type="submit" value="提交"></td> <td><input type="reset" value="重置"></td> </tr> </table> </fieldset> </form> </body> </html> <?php if($_POST['username']){ try{ $pdo = new PDO('mysql:host=localhost;dbname=mydb', 'root', 'root'); $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); }catch(PDOException $e){ die($e->getMessage()); } try{ /** * MySQL预处理和绑定 * 当一条SQL被提交到MySQL的时候并不是立即执行,而是要先被编译为数据库可识别的指令然后再执行 * 预处理的原理是先编译SQL,然后等待数据的传入,这样,当用户输入例如' or 1=1 #'的数据的时候 * 该数据就仅仅作为数据被传入,而不再是SQL语句的一部分,从而达到预防注入的作用 */ $sql = "select * from users where user=:user and password=:password"; $stmt = $pdo->prepare($sql);//对SQL进行预处理(编译) //绑定参数 $stmt->bindParam(':user', $_POST['username']); $stmt->bindParam(':password', $_POST['password']); //执行命令 $stmt->execute(); if($stmt->rowCount()){ echo "登陆成功!"; }else{ echo "您的用户名或密码输入有误,请重新登录!"; } }catch(PDOException $e){ die($e->getMessage()); } } ?>
关于预处理提升SQL效率
过去天真的以为使用PDO的预处理,因为SQL语句编译一次,相对于多条SQL语句,在连续的插入的情况下会提升效率。但在最近的试验中发现并非如此
两套复杂度相同的代码,连续插入5W条数据,在最后的执行结果并未有太大差异
未使用预处理的代码片段
$i=0; while($i < 50000){ $user = $password = $email = mt_rand(); $sql = "insert into users(user, password, email)values('{$user}', '{$password}', '{$email}')"; $pdo->query($sql); $i++; }
使用预处理代码片段
$i=0; $sql = "insert into users(user, password, email)values(:user, :password, :email)"; $stmt = $pdo->prepare($sql); while ($i < 50000) { $param['user'] = $param['password'] = $param['email'] = mt_rand(); $stmt->execute($param); $i++; }
最终执行时间对比
未使用预处理 | 使用预处理 |
[root@localhost pdo]# time php test3.php real 0m49.901s user 0m0.118s sys 0m6.046s | [root@localhost pdo]# time php test4.php real 0m49.101s user 0m0.140s sys 0m6.111s |
相关文章推荐
- php防止sql注入之过滤分页参数实例
- sql参数绑定防止注入
- php防止sql注入之过滤分页参数实例
- sql参数绑定防止注入
- PHP中实现表单变量的安全处理,防止SQL注入
- php mysql防止sql注入详细说明(2)
- 防止 PHP的SQL 注入攻击
- .net防止Sql注入之SqlParameter参数详解
- mysql使用bind_param()参数绑定来防止SQL注入攻击
- 通过jdbc使用PreparedStatement,提升性能,防止sql注入
- php如何防止SQL注入
- spring NamedParameterJdbcTemplate 和 SqlParameterSource 参数绑定使用
- php 防止sql语句注入
- php防止sql注入
- 执行带参数的Sql语句(防止注入)
- 在php中使用绑定变量的方法(Oracle SQL共享的机制)
- php过滤html字符串,防止SQL注入
- 如何防止 PHP SQL 注入攻击
- PHP程序中的sql语句防止POST数据注入问题
- [PDO绑定参数]使用PHP的PDO扩展进行批量更新操作