PHP防止sql注入小技巧之sql预处理原理与实现方法分析

本文实例讲述了PHP防止sql注入小技巧之sql预处理原理与实现方法。分享给大家供大家参考，具体如下：

我们可以把sql预处理看作是想要运行的 SQL 的一种编译过的模板，它可以使用变量参数进行定制。

我们来看下它有什么好处：

• 预处理语句大大减少了分析时间，只做了一次查询（虽然语句多次执行）。
• 绑定参数减少了服务器带宽，你只需要发送查询的参数，而不是整个语句。
• 预处理语句针对SQL注入是非常有用的，因为参数值发送后使用不同的协议，保证了数据的合法性。

这种预处理呢，可以通过两个方式，咱们这次要说的是mysqli。它任何时候都可以确保应用程序可以用相同的数据访问模式，比PDO要更加实用。

预处理呢，它有两种语句，一种是dml语句，另一种是dql语句。咱们先来看第一种：

?

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

<?php header( 'Content-type:text/html;charset=utf-8' ); $mysqli = new mysqli( "127.0.0.1" , "root" , "root" , "test" ); $mysqli ->query( 'set names utf8' ); $insert = $mysqli ->prepare( "insert admins (title,cookies,sta,lid) values (?,?,?,?)" ); $title = "cuijinpeng" ; $cookies = "luyaran201314" ; $sta = "1" ; $lid = 1; $insert ->bind_param( "sssi" , $title , $cookies , $sta , $lid ); $res = $insert ->execute(); if ( $res ){    echo 1; } else {    echo $insert ->error;    echo 0; } $insert ->close(); $mysqli ->close();

第二种呢，代码如下：

?

1 2 3 4 5 6 7 8 9 10 11 12 13 14

<?php header( 'Content-type:text/html;charset=utf-8' ); $mysqli = new mysqli( "127.0.0.1" , "root" , "root" , "test" ); $mysqli ->query( 'set names utf8' ); $select = $mysqli ->prepare( "select id,title,cookies,sta,lid from admins where id > ?" ); $id = "1" ; $select ->bind_param( "i" , $id ); $select ->bind_result( $id , $title , $cookies , $sta , $lid ); $select ->execute(); while ( $select ->fetch()) {    echo $id . "---" . $title . "---" . $cookies . "---" . $sta . "---" . $lid . "<br>" ; } $select ->close(); $mysqli ->close();

接下来，咱们就该看下这两种语句分别支持什么样子的sql了。

第一种呢，它支持insert、update、delete这三种类型的sql，第二种嘞，就是查询语句了。

完事那个bind_param里的那个i，就是咱们传入参数的类型了，具体介绍如下：

• i - integer（整型）
• d - double（双精度浮点型）
• s - string（字符串）
• b - BLOB（binary large object:二进制大对象）

我们传入的每个参数都需要指定类，这样通过告诉数据库参数的数据类型，可以降低 SQL 注入的风险。

好啦，本次记录就到这里了。

希望本文所述对大家PHP程序设计有所帮助。

原文链接：https://blog.csdn.net/luyaran/article/details/82178354