PDO：php5

假如以下是一個簡單的登錄處理：

使用PDO連接mysql首先：

新建數據庫

new PDO("mysql:host=localhost;dbname=test","root","root");

host:服務器
dbname:數據庫名
后面兩個分別是帳號和密碼
默認不是長連接

如果想使用長連接需要在后面加入參數：

new PDO("mysql:host=host;dbname=name","user","pw","array(PDO::ATTR_PERSISTENT => true) ");

看如下簡單示例，在這里是單獨說明，所以我沒有加其他的東西：

<?php//接收前端傳過來的變量$name=$_POST['username'];$pwd=$_POST['password'];//這里新建PDO連接，在這里我是本地測試的所以host我使用了localhost 數據庫名為test，帳號為root密碼也是root$stmt = new PDO("mysql:host=localhost;dbname=test","root","root");//使用prepare進行預處理，其中:name和:pwd是我們等下要傳入的變量值，這些都是占位符$stmt = $stmt->prepare('SELECT * FROM user1 WHERE user1 = :name and pw1 = :pwd');//以上的準備都做好了之后，我們使用execute()方法負責執行準備好的查詢//該方法需要有每次迭代執行中替換的輸入參數，在這里就是:name和:pwd 作為數組將值傳遞給方法//從而值替換掉其中占位符//當然也可以使用bindParam，但是我還是喜歡這種簡單的方式，畢竟人懶$stmt->execute(array('name' => $name,'pwd'=>$pwd));while ($row = $stmt->fetch()) {print_r($row);}

注釋已經說明了要說的內容，最后面使用while輸出查詢到的值，這樣就可以防止sql注入，如果不行，那么請自行測試，輸入如：’ or 1=1#
我們看我們的’ or 1=1#，如果我們的name輸入的是’ or 1=1#，注意 ’ or 1=1# 前面有一個單引號，那么如果我們的sql語句本是如下：

SELECT * FROM user1 WHERE user1='123' AND pw1='234'

把user1的值改為了 ’ or 1=1# 后。
變成了

SELECT * FROM user1 WHERE user1='' OR 1=1# and pw1='234'

其中由于sql中#代表：到此結束，那么說明后面的：and pw1=’234’都將無效，那么我們的sql語句就等于變成了如下語句：

SELECT * FROM user1 WHERE user1='' OR 1=1

由于1=1是肯定成立的，那么此句sql語句中的where條件將會永遠正確，此時，語句變成或者說就等于了如下語句：

SELECT * FROM user1 WHERE TRUE

或者說：

SELECT * FROM user1

那么就會登錄成功，繞過了此次登錄。

總結

以上是生活随笔為你收集整理的php 使用PDO，防止sql注入 简单说明的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。