防sql注入有多种方法,我们应用最多的是字符串处理和预处理
下面是我理解的预处理的原理
预处理就是通过预置一条sql语句,当我们使用预处理的时候只要把相应的参数填进去就可以了
下面是个小例子:
进入mysql;
选择一个数据库;
建个user表,添加一条数据,name=wodezhanghao,pwd=wodemima;
设置三个参数,等会儿会用到:
set @a = 'wodezhanghao';
set @b = 'wodemima';
set @c = 'password';
预处理语句:
prepare t1 from 'select * from user where name =? and pwd =?';
前置工作就是这些,然后
execute t1 using@a,$c;
执行这条语句后,会发现什么都没有查到
execute t1 using@a,$b;
执行这条语句后,会发现刚添加的这条数据查询出来了
由此我们可以看出,预处理就是用prepare预置了一条sql语句,参数使用?,
当我们要执行sql时,将参数依次替换?,用以达到预防sql注入的目的
查看yii框架,可以看到yii框架中就是使用的预处理机制来预防sql注入