• MySQL pdo预处理能防止sql注入的原因


    MySQL pdo预处理能防止sql注入的原因:

    1、先看预处理的语法

      $pdo->prepare('select * from biao1 where id=:id');

      $pdo->execute([':id'=>4]);

    2、语句一,服务器发送一条sql给mysql服务器,mysql服务器会解析这条sql。

    语句二,服务器发送一条sql给mysql服务器,mysql服务器不会解析这条sql,只会把execute的参数当做纯参数赋值给语句一。哪怕参数中有sql命令也不会被执行,从而实现防治sql注入。

    见图:

    普通的sql,直接一条sql语句执行,web服务器自己拼凑sql的时候有可能会把危险的sql语句拼凑进去。

    PDO的sql,让mysql服务器自己拼凑,就算有危险的语句,也只会当做参数处理,不会执行。

    注意:为了让mysql服务器去拼凑sql,而不是web server去拼凑,必须在创建pdo对象的时候加个参数:

    这个参数叫模拟prepare,默认是TRUE,意思是让web server代替mysql去做prepare,达到模拟prepare的作用。(web server实现模拟prepare的原理其实也就是底层用系统函数自行拼凑sql,和手动拼凑没区别,所以还是会把危险的sql拼凑进去,然后给mysql服务器执行,依然会被sql注入)

    所以必须设置为FALSE。

    $this->_pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, FALSE);
    PDO::ATTR_EMULATE_PREPARES

    参数为TRUE时,就算调用prepare,execute等pdo函数,底层依旧和普通的mysql没区别,直接发送一条webserver拼凑好的sql语句给mysql server。如图:

    PDO::ATTR_EMULATE_PREPARES

    设置为FALSE后,就会真的执行prepare,execute,如图:

  • 相关阅读:
    sychronized面试问题浅析
    打造一款属于自己的web服务器——开篇
    JVM学习总结五——性能监控及故障处理工具
    【转】Git常用命令备忘
    HTTP上传文件探究
    JVM学习总结四——内存分配策略
    JVM学习总结三——垃圾回收器
    JVM学习总结二——垃圾回收算法
    Vue生命周期中mounted和created的区别
    spring org.springframework.web.bind.annotation 常用注解
  • 原文地址:https://www.cnblogs.com/alazalazalaz/p/6056393.html
走看看 - 开发者的网上家园