摘要:具体参考基于扩展实现真正的数据库连接池方式三加上参考文档参数化查询为什么能够防止注入
pdo防sql注入原理
PdoTest.php
class PdoTest()
{
protected $db;
protected $user;
protected $pass;
public function __construct($user = "root", $pass = 123456)
{
$this->user = $user;
$this->pass = $pass;
$this->db = new PDO("mysql:host=localhost;dbname=test", $this->user, $this->pass);
}
function test()
{
//$userName = "tomener" or 1=1;--";
$userName = "tomener";
$userName = isset($_GET["userName"]) ? trim($_GET["userName"]) : $userName;
echo "
" . $userName . "
";
// 方式一
$sql = "select * from user where userName = ? and status = ?";
$stmt = $this->db->prepare($sql);
$stmt->execute(array($userName, 1));
$user_info = $stmt->fetch(PDO::FETCH_ASSOC);
echo "";var_dump($user_info);
// 方式二
$sql = "select * from user where userName = "". $userName ."" and status = 1"
$stmt =$this->db->prepare($sql);
$stmt->execute();
$user_info = $stmt->fetchAll(PDO::FETCH_ASSOC);
echo "";var_dump($user_info);
}
}
$PdoTest = new PdoTest();
$PdoTest->test();
访问:
http://localhost/PdoTest.php
状态:方式一、方式二都正常
访问:
http://localhost/PdoTest.php?userName=tomener" or 1=1;--
http://localhost/PdoTest.php?userName=tomener%27%20or%201=1;--
状态:方式一返回false,方式二返回user表所有数据
问题来了,为什么pdo预处理能正确处理sql注入呢?
mysql预处理语句,mysql支持预处理,sql已经预编译好了,坑已经挖好了,来一个填一个,不会改变原本sql的意思,那么后面的or 1=1;--根本不会被mysql编译成执行计划,被当作普通的字符串处理,没任何意义。
通俗的理解,就像是填空题,你只能在括号里面填写内容,并且这句话是预知的,如果这句话的意思都变了,那么就出现异常了,当然这样的理解不准确
获取姓名是()并且状态为()的用户,
如果是sql注入,那么就变成,
获取姓名是()或者所有用户
显然,这和我们预先设定的意思是不一样的
php连接池
方式一:
程序使用持久连接(PDO::ATTR_PERSISTENT)访问数据库,则一个PHP-FPM工作进程对应一个到MySQL的长连接.
请求结束后,PHP不会释放到MySQL的连接,以便下次重用,这个过程对程序是透明的.
这可以看作是PHP-FPM维护的"数据库连接池".
假如你的服务器有12个核心(超线程),你开启24个PHP-FPM工作进程.需要注意的是,PHP-FPM的进程数pm.max_children不要多于MySQL的最大连接数max_connections(默认151)
"127.0.0.1",
"db_username" => "root",
"db_password" => "",
"db_name" => "mybase",
"db_port" => 3306,
"db_pconnect" => true
);
$dsn = "mysql:dbname=$app[db_name];host=$app[db_host];port=$app[db_port];charset=utf8";
$db = new PDO($dsn, $app["db_username"], $app["db_password"], array(
PDO::ATTR_PERSISTENT => $app["db_pconnect"],
PDO::ATTR_EMULATE_PREPARES => false,
PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES utf8"
));
方式二:可以使用swoole扩展来实现。
具体参考: 基于swoole扩展实现真正的PHP数据库连接池
方式三:PDO加上ODBC
参考文档:参数化查询为什么能够防止SQL注入
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/21734.html
摘要:参考中如何防止注入参数化查询为什么能够防止注入上面提供的资料比较多,下面根据自己的理解整理出来。使用的预处理参数化查询可以有效防止注入。我们在上面预处理参数化查询是在中进行防注入操作的,其实也内置了一个预处理的模拟器,叫做。 由于segmentfault在处理特殊字符时也并非完美,所以下面文章中有些符号被转换了,请到本人博客下载原文txt http://www.yunxi365.cn/...
摘要:预处理语句和参数分别发送到数据库服务器进行解析,参数将会被当作普通字符处理。解析当你将语句发送给数据库服务器进行预处理和解析时发生了什么通过指定占位符一个或者一个上面例子中命名的,告诉数据库引擎你想在哪里进行过滤。 问题描述: 如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句,那么应用将很可能遭受到SQL注入攻击,正如下面的例子: $unsafe_variable = $_...
阅读 847·2019-08-30 15:54
阅读 3318·2019-08-29 15:33
阅读 2703·2019-08-29 13:48
阅读 1216·2019-08-26 18:26
阅读 3334·2019-08-26 13:55
阅读 1478·2019-08-26 10:45
阅读 1165·2019-08-26 10:19
阅读 305·2019-08-26 10:16
