mysql sql php 参数化查询

2024-04-30 09:20•php•阅读 1051

PHP code

$query = sprintf("SELECT * FROM Users where UserName='%s' and Password='%s'",

mysql_real_escape_string($Username),

mysql_real_escape_string($Password));……

SQL Injection) 的攻击手法的防御方式。

有部份的开发人员可能会认为使用参数化查询，会让程序更不好维护，或者在实现部份功能上会非常不便，然而，使用参数化查询造成的额外开发成本，通常都远低于因为SQL注入攻击漏洞被发现而遭受攻击，所造成的重大损失。

目录[隐藏]1原理 2SQL 指令撰写方法 2.1Microsoft SQL Server 2.2Microsoft Access 2.3MySQL 3客户端程序撰写方法 3.1ADO.NET 3.2PHP 3.3JDBC 3.4Cold Fusion[编辑]原理

在使用参数化查询的情况下，数据库服务器不会将参数的内容视为SQL指令的一部份来处理，而是在数据库完成 SQL 指令的编译后，才套用参数运行，因此就算参数中含有具破坏性的指令，也不会被数据库所运行。

[编辑]SQL 指令撰写方法

在撰写 SQL 指令时，利用参数来代表需要填入的数值，例如：

[编辑]Microsoft SQL Server

Microsoft SQL Server 的参数格式是以 "@" 字符加上参数名称而成，SQL Server 亦支持匿名参数 "?"。

SELECT*FROM myTable WHERE myID = @myID

INSERTINTO myTable (c1, c2, c3, c4)VALUES(@c1, @c2, @c3, @c4)

[编辑]Microsoft Access

Microsoft Access 不支持具名参数，只支持匿名参数 "?"。

UPDATE myTable SET c1 = ?, c2 = ?, c3 = ? WHERE c4 = ?

[编辑]MySQL

MySQL 的参数格式是以 "?" 字符加上参数名称而成。

UPDATE myTable SET c1 = ?c1, c2 = ?c2, c3 = ?c3 WHERE c4 = ?c4

[编辑]客户端程序撰写方法

在客户端代码中撰写使用参数的代码，例如：

[编辑]ADO.NETSqlCommand sqlcmd =new SqlCommand("INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)", sqlconn);

sqlcmd.Parameters.AddWithValue("@c1", 1);// 設定參數 @c1 的值。

sqlcmd.Parameters.AddWithValue("@c2", 2);// 設定參數 @c2 的值。

sqlcmd.Parameters.AddWithValue("@c3", 3);// 設定參數 @c3 的值。

sqlcmd.Parameters.AddWithValue("@c4", 4);// 設定參數 @c4 的值。

sqlconn.Open();

sqlcmd.ExecuteNonQuery();

sqlconn.Close();

[编辑]PHP$query=sprintf("SELECT * FROM Users where UserName='%s' and Password='%s'",

mysql_real_escape_string($Username),

mysql_real_escape_string($Password));

mysql_query($query);

或是

$db=new mysqli("localhost","user","pass","database");

$stmt=$mysqli->prepare("SELECT priv FROM testUsers WHERE username=? AND password=?");

$stmt->bind_param("ss",$user,$pass);

$stmt->execute();

[编辑]JDBCPreparedStatement prep = conn.prepareStatement("SELECT * FROM USERS WHERE USERNAME=? AND PASSWORD=?");

prep.setString(1, username);

prep.setString(2, password);

[编辑]Cold Fusion<cfqueryname="Recordset1"datasource="cafetownsend">

SELECT *

FROM COMMENTS

WHERE COMMENT_ID =<cfqueryparamvalue="#URL.COMMENT_ID#" cfsqltype="cf_sql_numeric">

</cfquery>

转自：http://zh.wikipedia.org/w/index.php?title=%E5%8F%83%E6%95%B8%E5%8C%96%E6%9F%A5%E8%A9%A2&variant=zh-cn

上一篇 »Spark连接到MySQL并执行查询为什么速度会快？
下一篇 »php 分页使用limit还是用mysql_data_seek？呢？

mysql sql php 参数化查询

相关推荐

PHP并行查询MySQL

PHP获取mysql数据表的字段名称和详细信息的方法

你用什么方法检查 PHP 脚本的执行效率？通常是脚本执行时间和数据库 SQL 的效率

php+mysql将大数据sql文件导入数据库

Sql：mysql练习题及答案2 转载 https://www.cnblogs.com/ztz0/p/5749648.html

java JDBC ，二 防止注入/参数化

java日期和mysql 日期

php 写mysql查询日志

java JDBC ，二防止注入/参数化