mysql使用bind_param()参数绑定来防止SQL注入攻击

什么是sql注入攻击

在阅读这篇文章之前，我们必须要了解sql注入攻击的原理，下面我们使用一个简单的实例来介绍sql注入攻击，以php语言为例：

$username="manongjc";

$pwd="123";

$sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'";

此时sql语句为：

SELECT * FROM table WHERE username = 'manongjc' AND pwd = '123'

这个sql语句没有问题，当数据库中存在用户名为manongjiaoc密码为123时，会查询出结果，否则不会查询到任何数据。

再看下面一种情况：

$username="manongjc";

$pwd="123' or '1'='1";

$sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'";

此时sql语句为：

SELECT * FROM table WHERE username = 'manongjc' AND pwd = '123' or '1'='1'

这个时候or是mysql关键字，后面永远为真，所以能查询到结果。这就是SQL注入攻击。

使用bind_param()参数绑定来防止SQL注入攻击

我们这样写就不会存在SQL注入攻击了：

$username="manongjc";

$pwd="123' or '1'='1";

$sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'";

bindParam($sql,1,$username,'STRING'); //以字符串的形式.在第一个问号的地方绑定$username这个变量

bindParam($sql,2,$pwd,'STRING'); //以字符串的形式.在第二个问号的地方绑定$pwd这个变量

echo $sql;

?>

sql输出如下：

SELECT * FROM table WHERE username = 'aaa' AND pwd = 'fdsafda' or '1'='1'

（编辑：安卓应用网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!