mysql绑定参数bind_param原理以及防SQL注入

假设我们的用户表中存在一行.用户名字段为username.值为aaa.密码字段为pwd.值为pwd..

下面我们来模拟一个用户登录的过程..

<?php
$username = "aaa";
$pwd = "pwd";
$sql = "SELECT * FROM table WHERE username = ‘{$username}‘ AND pwd = ‘{$pwd}‘";
echo $sql; //输出  SELECT * FROM table WHERE username = ‘aaa‘ AND pwd = ‘pwd‘
?>

 

这样去执行这个sql语句.显然是可以查询出来东西的.返回用户的这一列.登录成功!!
然后我改一下..把密码改一下.随便一个值.如下.我改成了ppp.

<?php
$pwd = ‘ppp‘;
$sql = "SELECT * FROM table WHERE username = ‘{$username}‘ AND pwd = ‘{$pwd}‘";
echo $sql; //输出  SELECT * FROM table WHERE username = ‘aaa‘ AND pwd = ‘ppp‘
?>

  

这样很显然.如果去执行这个SQL语句..是查询不到东西的.也就是密码错误.登录失败!!
但是有的人总是不老实的.他们会想尽一切办法来进行非法的登录.所谓非法就是在他不知道用户名密码的时候进行登录.并且登录成功..
那么他们所做的原理是什么呢??其实原理都是利用SQL语句..SQL语句强大的同时也给我们带来了不少麻烦..
我来举个最简单的例子.我们要运用到的SQL关键字是or
还是上面的代码.我们只要修改一下密码即可

<?php
$username = "aaa";
$pwd = "fdsafda‘ or ‘1‘=‘1"; //前面的密码是瞎填的..后来用or关键字..意思就是无所谓密码什么都执行
$sql = "SELECT * FROM table WHERE username = ‘{$username}‘ AND pwd = ‘{$pwd}‘";
echo $sql; //输出 SELECT * FROM table WHERE username = ‘aaa‘ AND pwd = ‘fdsafda‘ or ‘1‘=‘1‘
?>

  

执行一下这个SQL语句..可怕的事情发生了..竟然可以查询到这一行数据..也就是登录成功了..
这是多么可怕的事情..

SQL注入演示教程,见博文:http://blog.csdn.net/wusuopubupt/article/details/8818996

PHP为了解决这个问题.magic_quotes state..就是PHP会自动过滤传过来的GET.POST等等.
题外话.实践证明这个东西是畸形的..大部分程序不得不为判断此功能而耗费了很多代码..
Java中可没有这个东西..那么Java中如何防止这种SQL注入呢??

Java的sql包中提供了一个名字叫PreparedStatement的类.
这个类就是我要说的绑定参数!
什么叫绑定参数??我继续给大家举例..(我用PHP举例)

<?php
$username = "aaa";
$pwd = "pwd";
$sql = "SELECT * FROM table WHERE username = ? AND pwd = ?";
bindParam($sql, 1, $username, ‘STRING‘); //以字符串的形式.在第一个问号的地方绑定$username这个变量
bindParam($sql, 2, $pwd, ‘STRING‘); //以字符串的形式.在第二个问号的地方绑定$pwd这个变量
echo $sql;
?>

  

当然.到此.你肯定不知道会输出什么..更无法知道绑定参数有什么好处!这样做的优势是什么.更不知道bindParam这个函数到底做了什么.
下面我简单的写一下这个函数:

<?php
/**
 * 模拟简单的绑定参数过程
 *
 * @param string $sql    SQL语句
 * @param int $location  问号位置
 * @param mixed $var     替换的变量
 * @param string $type   替换的类型
 */
$times = 0;
//这里要注意,因为要“真正的"改变$sql的值,所以用引用传值
function bindParam(&$sql, $location, $var, $type) {
    global $times;
    //确定类型
    switch ($type) {
        //字符串
        default:                    //默认使用字符串类型
        case ‘STRING‘ :
            $var = addslashes($var);  //转义
            $var = "‘".$var."‘";      //加上单引号.SQL语句中字符串插入必须加单引号
            break;
        case ‘INTEGER‘ :
        case ‘INT‘ :
            $var = (int)$var;         //强制转换成int
        //还可以增加更多类型..
    }
    //寻找问号的位置
    for ($i=1, $pos = 0; $i<= $location; $i++) {
        $pos = strpos($sql, ‘?‘, $pos+1);
    }
    //替换问号
    $sql = substr($sql, 0, $pos) . $var . substr($sql, $pos + 1);
}
?>

 

注:由于得知道去除问号的次数..所以我用了一个global来解决.如果放到类中就非常容易了.弄个私有属性既可

通过上面的这个函数.我们知道了..绑定参数的防注入方式其实也是通过转义进行的..只不过是对于变量而言的..
我们来做一个实验:

<?php
$times = 0;
$username = "aaaa";
$pwd = "123";
$sql = "SELECT * FROM table WHERE username = ? AND pwd = ?";
bindParam($sql, 1, $username, ‘STRING‘); //以字符串的形式.在第一个问号的地方绑定$username这个变量
bindParam($sql, 2, $pwd, ‘INT‘); //以字符串的形式.在第二个问号的地方绑定$pwd这个变量
echo $sql; //输出 SELECT * FROM table WHERE username = ‘aaaa‘ AND pwd = 123
?>

  

可以看到.生成了非常正规的SQL语句.那么好.我们现在来试下刚才被注入的那种情况

<?php
$times = 0;
$username = "aaa";
$pwd = "fdsafda‘ or ‘1‘=‘1";
$sql = "SELECT * FROM table WHERE username = ? AND pwd = ?";
bindParam($sql, 1, $username, ‘STRING‘);  //以字符串的形式.在第一个问号的地方绑定$username这个变量
bindParam($sql, 2, $pwd, ‘STRING‘);       //以字符串的形式.在第二个问号的地方绑定$pwd这个变量
echo $sql; //输出  SELECT * FROM table WHERE username = ‘aaa‘ AND pwd = ‘fdsafda\‘ or \‘1\‘=\‘1‘
?>

可以看到.pd内部的注入已经被转义.当成一个完整的字符串了..这样的话.就不可能被注入了.

转于http://blog.csdn.net/wusuopubupt/article/details/9668501

时间: 2024-08-03 22:04:34

mysql绑定参数bind_param原理以及防SQL注入的相关文章

回头探索JDBC及PreparedStatement防SQL注入原理

概述 JDBC在我们学习J2EE的时候已经接触到了,但是仅是照搬步骤书写,其中的PreparedStatement防sql注入原理也是一知半解,然后就想回头查资料及敲测试代码探索一下.再有就是我们在项目中有一些配置项是有时候要变动的,比如数据库的数据源,为了在修改配置时不改动编译的代码,我们把要变动的属性提取到一个配置文件中,比如properties,因为properties里面都是键值对的形式,所以非常便于阅读和维护. 一.首先说说读取properties文件,这个相对路径和绝对路径的问题:

【荐】PDO防 SQL注入攻击 原理分析 以及 使用PDO的注意事项

我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答以下几个问题: 为什么要使用PDO而不是mysql_connect? 为何PDO能防注入? 使用PDO防注入的时候应该特别注意什么? 一.为何要优先使用PDO? PHP手册上说得很清楚: Prepared statements and stored procedures Many of the more mature databases support the concept of prepared statemen

PHP防SQL注入攻击

PHP防SQL注入攻击 收藏 没有太多的过滤,主要是针对php和mysql的组合. 一般性的防注入,只要使用php的 addslashes 函数就可以了. 以下是一段copy来的代码: PHP代码 $_POST = sql_injection($_POST); $_GET = sql_injection($_GET); function sql_injection($content) { if (!get_magic_quotes_gpc()) { if (is_array($content))

防sql注入攻击

这两天看了个防sql注入,觉得有必要总结一下: 首先需要做一些php的安全配置: 1 在php.ini 中把display_errors改成OFF display_errors = OFF 或在php文件前加入 error_reporting(0) 2 关闭一些“坏功能” 1)关闭magic quotes功能 在php.ini 把magic_quotes_gpc = OFF 避免和addslashes等重复转义 2)关闭register_globals = Off 在php.ini 把regis

防sql注入的过滤器

首先在web.xml中配置 <!-- 防sql注入过滤器 --> <filter> <filter-name>antiSqlInjection</filter-name> <filter-class>com.usermanage.util.AntiSqlInjectionfilter</filter-class> </filter> <filter-mapping> <filter-name>ant

Java 防SQL注入过滤器(拦截器)代码

原文出自:https://blog.csdn.net/seesun2012 前言 浅谈SQL注入: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,达到一定的非法用途. 解决办法 1.配置WEB-INF/web.xml <web-app> <welcome-file-list> <welcome-file>index.html</welcome-file> </welco

.Net防sql注入的方法总结

#防sql注入的常用方法: 1.服务端对前端传过来的参数值进行类型验证: 2.服务端执行sql,使用参数化传值,而不要使用sql字符串拼接: 3.服务端对前端传过来的数据进行sql关键词过来与检测: #着重记录下服务端进行sql关键词检测: 1.sql关键词检测类: 1 public class SqlInjectHelper:System.Web.UI.Page 2 { 3 private static string StrKeyWord = "select|insert|delete|fro

sqlalchemy防sql注入

银行对安全性要求高,其中包括基本的mysql防注入,因此,记录下相关使用方法: 注意:sqlalchemy自带sql防注入,但是在 execute执行 手写sql时 需要考虑此安全问题 对于 where in 的防sql注入:(in 的内容一定要是tuple类型,否则查询结果不对) in_str = tuple(input_list)sql = "(SELECT count(id) FROM {0} WHERE {0}.id IN :in_str);".format(cls.__tab

nginx服务器防sql注入/溢出攻击/spam及禁User-agents

本文章给大家介绍一个nginx服务器防sql注入/溢出攻击/spam及禁User-agents实例代码,有需要了解的朋友可进入参考. 在配置文件添加如下字段即可  代码如下 复制代码 server { ## 禁SQL注入 Block SQL injections set $block_sql_injections 0; if ($query_string ~ "union.*select.*(") { set $block_sql_injections 1; } if ($query_