pdo调用方法以及防sql注入原理

前言

在web站点中，经常会遇到各种各样的网络攻击，其中sql注入是非常常见的一种，所以需要对sql注入进行防护。
目前许多站点服务端基本采用php+mysql的方式。对应php连接mysq而言，l有三种方式：mysql扩展、mysqli、pdo。前两者不在此多说，网上有较多的学习资料。今天我们主要要讲解的是php如何通过pdo连接mysql数据库，以及为什么使用pdo连接mysql数据库具有很高的安全性。

一、什么是PDO

首先简单介绍一下什么是PDO。PDO是PHP Data Objects（php数据对象）的缩写。是在php5.1版本之后开始支持pdo。你可以把pdo看做是php提供的一个类。它提供了一组数据库抽象层API，使得编写php代码不再关心具体要连接的数据库类型。你既可以用使用pdo连接mysql，也可以用它连接oracle。并且pdo很好的解决了sql注入问题。

二、如何操作PDO

1、实例化对象：

try
{
$pdo = new PDO("mysql:host=$host;port=$port;dbname=$dbName",
$userName,
$password,
array(PDO::ATTR_PERSISTENT => true,
PDO::ATTR_TIMEOUT => 5)
);
//PDO::ATTR_PERSISTENT => true  将连接类型设置为持久连接，避免脚本每次需要与数据库对话时都要部署一个新的链接，减少了资源消耗
//PDO::ATTR_TIMEOUT => 5  设置数据库连接超时的时间为5秒
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);//修改默认的错误显示级别
$pdo->query("SET NAMES 'utf8'");
$pdo->query("SET character_set_client=binary");
}
catch (Exception $e)
{
throw new PDOException($e->getMessage()." in function construct port:".$port." db_name:".$dbName, 90100);
}

实例化的过程很清晰，不必多说。

2、对sql进行预处理

$sql = "select * from the_table where id = ? and uid = ?";
$st = $pdo->prepare($sql);

实例化pdo对象之后，首先是对请求mysql的sql语句做预处理。在这里，我们使用了占位符的方式，将该sql传入prepare函数后，预处理函数就会得到本次查询语句的sql模板类，并将这个模板类返回，模板可以防止传那些有猫腻的变量改变本身查询语句的语义。

3、绑定查询参数

$st->bindValue(1,15);
$st->bindValue(2,20001);

或者

$id = 15;
$uid = 20001;
$st->bindParam(1,$id);
$st->bindParam(2,$uid);

对sql模板绑定参数，可以使用两种方法，bindValue和bindParam，通过代码能看出区别，bindValue是传入值，bindParam是传入变量。其中两个函数中的第一个参数“数字”代表为占位符中的第几个参数。

4、执行语句

$st->execute();
$result = $st->fetchAll();

execute( )执行预准备语句，fetchAll( )返回包含所有结果集行的数组。

pdo的整个执行使用过程就是这样，我觉得最重要的一步就是理解如何绑定查询参数。

二、PDO如何解决sql注入

在php5.3.6之后，pdo不会在本地对sql进行拼接然后将拼接后的sql传递给mysql server处理（也就是不会在本地做转义处理）。pdo的处理方法是在prepare函数调用时，将预处理好的sql模板（包含占位符）通过mysql协议传递给mysql server，告诉mysql server模板的结构以及语义。当调用execute时，将两个参数传递给mysql server。由mysql server完成变量的转移处理。将sql模板和变量分两次传递，即解决了sql注入问题。

总结

对我自己而言，学习PDO的心路历程是这样的，首先是在工作中需要杜绝安全隐患，所以了解到pdo可以很好解决，于是去学习pdo防sql注入的原理，然后再是如何使用pdo。本文用相反的逻辑去讲述使用pdo和pdo防sql注入的原理，我觉得更利于新人学习。
以下是我在学习中参考的重要文章：
pdo防sql注入原理
http://zhangxugg-163-com.iteye.com/blog/1835721
pdo函数详解
http://blog.csdn.net/s876286443/article/details/37902695