首页 / PHP / php连接Mysql用stmt防注入如何进行模糊查询

php连接Mysql用stmt防注入如何进行模糊查询

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了php连接Mysql用stmt防注入如何进行模糊查询，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含1911字，纯文字阅读大概需要3分钟。

内容图文

Q1:以下代码是正确的吗?即表名和列名也可以用参数化导入吗?

$sqlLink = init_mysql();
$stmt = $sqlLink->stmt_init()
$sql = 'SELECT ? FROM ?;';
$stmt->prepare($sql);
$stmt->bind_param("ss",'colA','tableA');
$stmt->execute();

Q2:参数化防止注入，如何进行模糊查询?
1.sql = 'SELECT * FROM tableA WHERE col LIKE \'%?%\'';
2.sql = "SELECT * FROM tableA WHERE col LIKE '%?%'";
3.sql = 'SELECT * FROM tableA WHERE col LIKE \'%'.'?'.'%\'';
以上方式我经过尝试都不能使用，请问带%模糊查询如何书写SQL的prepare语句?
有一种可行的方式如下:
sql = 'SELECT * FROM tableA WHERE col LIKE \'%'.$string.'%\'';
但是失去了防注入的意义，请问有没有正确的方式给予我引导?:-D

回复内容：

Q1:以下代码是正确的吗?即表名和列名也可以用参数化导入吗?

$sqlLink = init_mysql();
$stmt = $sqlLink->stmt_init()
$sql = 'SELECT ? FROM ?;';
$stmt->prepare($sql);
$stmt->bind_param("ss",'colA','tableA');
$stmt->execute();

不能。

原来的prepare引入的目的，是为了预编译，生成执行计划，从而提高性能。本意可不是为了防止sqlinject。如果table都没有了，是无法预编译的。就没有意义了。

$sql = "SELECT * FROM tableA WHERE col LIKE CONCAT('%',?,'%')";

涉及到的是 PHP Binding a Wildcard 的知识。

补充：如果不bind parameter。可以直接拼接字符串。对引入的参数，都做一个escape就安全了。（函数： mysql_real_escape_string）

$db = new PDO(DB_DSN, DB_USERNAME, DB_PASSWORD, $pdo_options);
$query = $database->prepare('SELECT * FROM table WHERE  name LIKE :name');
$query->bindValue(':name', '%'.$name.'%', PDO::PARAM_STR);
$query->execute();
while ($results = $query->fetch())
{
   echo $results['name'];
}

内容总结

以上是互联网集市为您收集整理的php连接Mysql用stmt防注入如何进行模糊查询全部内容，希望文章能够帮你解决php连接Mysql用stmt防注入如何进行模糊查询所遇到的程序开发问题。如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接：https://qyyshop.com/info/236842.html

来源：【匿名】

【上一篇】phpstrtotime是否有bug 【下一篇】PHP 5 数据对象 (PDO) 抽象层与 Oracle

更多 ►

【php连接Mysql用stmt防注入如何进行模糊查询】教程文章相关的互联网学习教程文章

ThinkPHP学习（三）配置PHP5支持MySQL，连接MySQL数据库【图】

配置PHP5支持MySQL打开PHP配置文件“F:\PHP\php5328Win32\php.ini”，查找“extension=php_mysql.dll”，把前面的分号去掉，保存文件，启动服务；却提示“PHP startup: Unable to load dynamic library :F:\PHP\php_mysql.dll”错误，解决办法，打开PHP配置文件“F:\PHP\php5328Win32\php.ini”，查找“extension_dir = "ext"”，把前面的分号去掉，保存文件，启动服务，问题解决；准备测试数据如果你还没有安装MySQL，请先安装MyS...

PHP中使用localhost连接Mysql不成功的解决方法

发现问题昨天在帮同事编译安装Linux环境时，遇到一个问题： WEB服务器是apache，数据库是MySQL。于是写了一个测试连接数据库的PHP页面：复制代码代码如下:$mysql = mysql_connect(‘localhost‘,‘root‘,‘‘);打开 http://localhost/test.php 测试提示：Can‘t connect to local MySQL server through socket...检查环境正常以为是数据库没有启动，于是查看一下进程，MySQL在进程里，重启了一下MySQL.使用mysql -u root -p 可以...

PDO浅谈之php连接mysql【图】

一.首先我们先说一下什么是pdo？百科上说 PDO扩展为PHP访问数据库定义了一个轻量级的、一致性的接口，它提供了一个数据访问抽象层，这样，无论使用什么数据库，都可以通过一致的函数执行查询和获取数据。PDO随PHP5.1发行，在PHP5.0的PECL扩展中也可以使用。我个人理解：PDO是一个抽象类，为我们提供访问数据的接口方法二.如何配置pdo1.我的环境是：win7 编辑器：sublime text2 服务器：xampp2.找到xampp的安装文件：找到php....

Mac OS 10.10 php不能连接mysql问题解决【代码】

php连接数据库都没问题,升级到10.10这后, 突然连接不上了. 这个问题放了很久, 今天突然搜索到一篇文章. 用链接的方式解决了. 原文如下: So you installed Ubuntu, got all excited about developing your Rails application on it, and then…No such file or directory - /tmp/mysql.sock) No matter what you do, database connection doesn’t work. You reinstall Rails (of course you installed it via “sudo apt-get rails...

php连接mysql问题

学习php连接mysql，采用mysqli方式连接遇到的问题：Call to undefined function mysqli_connect()或Class ‘mysqli‘ not found总的来说就是找不到扩展插件php_mysqli.dllphp连接mysql有3种扩展插件方式：php_mysql.dll　　　　php5之后淘汰php_mysqli.dll　　　　只支持连接mysqlphp_pdo_mysql.dll　　可支持多种数据库 apache+php+mysql 环境配置问题：1、apache server 的httpd.conf配置：　　LoadModule php7_module "E:/amp/...

CentOS下httpd下php 连接mysql 本机可以，127.0.0.1不能访问【代码】【图】

你看到的这个文章来自于http://www.cnblogs.com/ayanmwphp代码很简单：$server="127.0.0.1"; println("Begin"); $link = mysql_connect($server,"mysql","mysql"); if (!$link) {die(‘Could not connect: ‘ . mysql_error().mysql_errno()); }linux本机下使用php mysql.php 可以查看运行结果，但是在我的windows浏览器下报错：Could not connect: Can‘t connect to MySQL server on ‘127.0.0.1‘ (13) 2003原因：#getsebool -...

PHP连接MYSQL数据库【代码】

因为前两天某项目需要PHP连接MySql，虽然以前学过，但是现在基本也忘得一干二净了，不过后来查找大量资料找到了方法:<?php//设置字符集header(‘Content-Type: text/html; charset=utf8‘);//连接数据库$link = mysql_connect("localhost","root","123456");if(!$link){echo ‘数据库连接失败...<br>‘;exit(-1);}else{echo "数据库连接成功...<br>";}//选择一个数据库作为默认数据库mysql_select_db(‘php_sjk‘);//执行sql插入语...

PHP连接mysql数据库【图】

首先创建一个HTML页面userinfo_add.php，在里面输入表单，文本框，输入需要提交的到数据库的信息：账号姓名年龄页面运行结果：创建一个PHP文件（userinfo_insert.php），用来处理页面请求的，就是具体往数据库添加数据的代码：先获取页面数据 //通过post获取页面提交数据信息 $userId = $_POST[userId]; $userName = $_POST[userName]; $userAge = $_POST[userAge];接下来，在连接数据库 ‘test’ //地址 $url = "127.0.0.1...

php使用PDO连接mysql数据库【代码】

<?php $dsn=‘mysql:host=localhost;dbname=mssc‘; $user=‘root‘; $password=‘‘; $status=1; try {$sql=‘select * from onethink_order where status=:status‘;$dbh=new PDO($dsn,$user,$password);$dbh->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION); $stmt=$dbh->prepare($sql);$stmt->bindParam(‘:status‘,$status);$stmt->execute();//返回插入、更新、删除的受影响行数// echo $stmt->rowCount();//返回...

通过PHP连接MYSQL数据库创建数据库创建表

通过PHP连接MYSQL数据库　　 $conn = mysql_connect("localhost","root","password") or die("无法连接数据库");　　 mysql_select_db("table" ,$conn) or die ("找不到数据源");　　通过PHP创建MYSQL数据库　　$conn = mysql_connect("localhost","root","password") or die("无法连接数据库");　　mysql_create_db("webjx") or die("无法创建数据库");　　$sqlstr = "create database other_webjx";　　mysql_query($sqlstr) o...

PHP 使用mysql 与 mysqli 连接Mysql数据库【代码】【图】

代码很简单直接上了<?php/*** @Author: HTL* @Email: Huangyuan413026@163.com* @DateTime: 2015-05-14 16:00:08* @Description: Description*/// 降低PHP默认的错误级别// 只显示除禁用以外的所有错误// 解决因为PHP5.3+版本太高而导致在使用mysql_connect时出现的弃用警告“Deprecated: mysql_connect(): The mysql extension is deprecated and will be removed in the future: use mysqli or PDO instead”error...

php 连接mysql【代码】【图】

@屏蔽错误信息，error_reporting(0),也是屏蔽错误信息连接数据库时，如有有错就报错误信息$m=@new mysqli(‘localhost‘,‘rootr‘,‘‘,‘db‘);$m->set_charset(‘utf8‘);if($m->connect_error){ echo $m->connect_error;exit;}$m->close();//关闭数据库连接不提示警告错误error_reporting(0);连接数据库$conn = mysql_connect(‘localhost‘,‘root‘,‘‘);设置连接数据库的编码字符集为utf8mysql_query(‘set names utf8‘,$...

php入门之连接mysql数据库的一个类【图】

项目结构：运行效果；conn.php 复制代码代码如下:<?php class ConnectionMySQL{ //主机 private $host="localhost"; //数据库的username private $name="root"; //数据库的password private $pass=""; //数据库名称 private $table="phptest"; //编码形式 private $ut="utf-8"; //构造函数 function __construct(){ $this->ut=$ut; $this->connect(); } //数据库的链接 function connect(){ $link=mysql_connect($this->host,$thi...

php连接mysql

<?php$servername = "localhost";$username = "root";$password = "123456";// 创建连接$conn = new mysqli($servername, $username, $password);// 检测连接if ($conn->connect_error) { die("连接失败: " . $conn->connect_error);} echo "连接成功";?>原文：https://www.cnblogs.com/mix971/p/9626698.html

php PDO连接mysql~高手略过

最近在linux装了新的环境，php5.6+mysql5.5+nginx。然后用原来的mysql链接数据库出现的错误。原因就是说连接数据库的方法太旧。建议我用mysqli和PDO来链接数据库。好吧，咱也不能落后，使用mysqli的确也简单了不少，但是PDO貌似更简单。效率也会得到提升。根据官方文档，貌似对于sql注入的一些风险也做了屏蔽。所以今天写的博客就是关于php用PDO连接mysql的一些介绍啦！【PDO是啥】PDO是PHP 5新加入的一个重大功能，因为在PHP 5以...

PHP - 技术教程分类

PHP 教程 PHP 简介 PHP 安装 PHP 语法 PHP 变量 PHP echo/print PHP EOF(heredoc) PHP 数据类型 PHP 类型比较 PHP 常量 PHP 字符串 PHP 运算符 PHP If...Else PHP Switch PHP 数组 PHP 数组排序 PHP 超级全局变量 PHP While 循环 PHP For 循环 PHP 函数 PHP 魔术常量 PHP 命名空间 PHP 面向对象 PHP 测验 PHP 表单 PHP 表单验证 PHP 表单 - 必需字段 PHP 完整表单实例 PHP $_GET 变量 PHP $_POST 变量 PHP 多维数组 PHP 日期 PHP 包含 PHP 文件 PHP 文件上传 PHP Cookie PHP Session PHP E-mail PHP Error PHP Exception PHP 过滤器 PHP 7 新特性 PHP MySQL 简介 PHP MySQL 连接 PHP MySQL 创建数据库 PHP MySQL 创建数据表 PHP MySQL 插入数据 PHP MySQL 插入多条数据 PHP MySQL 预处理语句 PHP MySQL 读取数据 PHP MySQL Where PHP MySQL Order By PHP MySQL Update PHP MySQL Delete PHP ODBC AJAX 简介 AJAX PHP AJAX 数据库 AJAX 实时搜索 AJAX 投票 PHP Array PHP Calendar PHP cURL PHP Date PHP Directory PHP Error PHP Filesystem PHP Filter PHP FTP PHP HTTP PHP Mail PHP Math PHP Misc PHP MySQLi PHP PDO PHP String PHP Zip PHP Timezones PHP 图像处理 PHP RESTful PHP PCRE PHP 可用的函数 PHP Composer php 全部

PHP - 最热教程

php如何取出数组的前几个元素 PHP变量什么时候释放 PHP如何实现在数据库随机获取几条记录如何解决php base64解码乱码 php主要用于哪些领域 Laravel 批量插入(insert)数据六款国内优秀免费wordpress主题推荐 React如何从后端获取数据并渲染到前端？纯PHP实现定时器任务（Timer），php实现...php该如何安装pdo_mysql扩展

首页 / PHP / php连接Mysql用stmt防注入如何进行模糊查询

php连接Mysql用stmt防注入如何进行模糊查询

内容导读

内容图文

回复内容：

内容总结

内容备注

内容手机端

【php连接Mysql用stmt防注入如何进行模糊查询】教程文章相关的互联网学习教程文章

ThinkPHP学习（三）配置PHP5支持MySQL，连接MySQL数据库【图】

PHP中使用localhost连接Mysql不成功的解决方法

PDO浅谈之php连接mysql【图】

Mac OS 10.10 php不能连接mysql问题解决【代码】

php连接mysql问题

CentOS下httpd下php 连接mysql 本机可以，127.0.0.1不能访问【代码】【图】

PHP连接MYSQL数据库【代码】

PHP连接mysql数据库【图】

php使用PDO连接mysql数据库【代码】

通过PHP连接MYSQL数据库创建数据库创建表

PHP 使用mysql 与 mysqli 连接Mysql数据库【代码】【图】

php 连接mysql【代码】【图】

php入门之连接mysql数据库的一个类【图】

php连接mysql

php PDO连接mysql~高手略过

MYSQL - 相关标签

PHP - 相关标签

PHP - 技术教程分类

PHP - 最新教程

PHP - 最热教程