使用pdo的好處:
1> 防止sql注入
2> 提高執行效率 每條sql執行前,mysql資料庫都需要先進行編譯(即便是乙個空格也可能引起重新編譯)。在迴圈執行多條資料時,使用prepare方式傳入不同引數可以減少編譯時間
大部分常見資料庫都支援prepare語句,即便資料庫不支援,pdo也會採用模擬的方式來實現,簡單來說就是pdo自己對資料做quote,然後把結果拼接成sql再執行,但是這樣就不能防止sql注入了。
$pdo->setattribute(pdo::attr_emulate_prepares, false); 使用prepare方式訪問資料庫,如果false表示使用模擬方式(不使用prepare)
prepare方式預製語句基於三個sql語句:
prepare stmt_name from preparable_stmt;
execute stmt_name [using @var_name [, @var_name] ...];
prepare stmt_name;
如果帶有此名稱的預製語句已經存在,則在新的語言被預備以前,它會被隱含地解除分配。這意味著,如果新語句包含乙個錯誤並且不能被預備,則會返回乙個錯誤,並且不存在帶有給定名稱語句。
預製語句的範圍是客戶端會話。在此會話內,語句被建立。其它客戶端看不到它。
在預備了乙個語句後,您可使用乙個execute語句(該語句引用了預製語句名稱)來執行它。如果預製語句包含任何引數製造符,則您必須提供乙個列舉了使用者變數(其中包含要與引數結合的值)的using子句。引數值只能有使用者變數提供,using子句必須準確地指明使用者變數。使用者變數的數目與語句中的引數製造符的數量一樣多。
您可以多次執行乙個給定的預製語句,在每次執行前,把不同的變數傳遞給它,或把變數設定為不同的值。
要對乙個預製語句解除分配,需使用deallocate prepare語句。嘗試在解除分配後執行乙個預製語句會導致錯誤。
如果您終止了乙個客戶端會話,同時沒有對以前已預製的語句解除分配,則伺服器會自動解除分配。
以下sql語句可以被用在預製語句中:create table, delete, do, insert, replace, select, set, update和多數的show語句。目前不支援其它語句。
預製語句的sql語法不能被用於帶巢狀的風格中。也就是說,被傳遞給prepare的語句本身不能是乙個prepare, execute或deallocate prepare語句。例如,您不能使用mysql_stmt_prepare() c api函式來預備乙個prepare, execute或deallocate prepare語句。
防止SQL注入
1.什麼是sql注入 所謂sql注入,就是通過把sql命令插入到web表單遞交或輸入網域名稱或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的sql命令。通過遞交引數構造巧妙的sql語句,從而成功獲取想要的資料。2.sql注入的種類 從具體而言,sql注入可分為五大類,分別是 數字型注入 字元型注入...
防止SQL注入
最近看到很多人的 都被注入js,被iframe之類的。非常多。本人曾接手過乙個比較大的 被人家入侵了,要我收拾殘局。1.首先我會檢查一下伺服器配置,重新配置一次伺服器安全,可以參考 2.其次,用麥咖啡自定義策略,即使 程式有漏洞,別人也很難在檔案上寫入 了。參考自定義策略,有了這個策略,再爛的程式,...
防止Sql注入
防不勝防 可以肯定的說,過濾不是辦法,而且效率很低 過濾的目的主要是提供反饋資訊,必須前後臺都要做 但是,有很多辦法可以繞過 致命的單引號 能做的事情按重要性大致如下 1。資料庫訪問用預定義會話 preparedstatement 從根本上防止sql截斷 2。後台過濾 為輸入的資訊提供反饋資訊,只要...