使用 PHP 实现防止 sql 注入功能
一、 开发环境
1、环境搭建:Windows 7+Apache 2.4.18+MySQL 5.7.11+PHP
7.1.0。
2、文本编辑器:Sublime 3。
二、主要技术
本案例主要在 PHP 中分别使用 PDO 的 quote()方法和 prepare()
预处理语句来实现防止 sql 注入的功能。
所谓 sql 注入,就是通过把 sql 命令插入到 Web 表单提交或输入
域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 sql
命令。具体来说,它是利用现有应用程序,将恶意的 sql 命令注入到
后台数据库引擎执行的能力,它可以通过在 Web 表单中输入恶意的
sql 语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计
者意图去执行 sql 语句。
三、效果图展示
实现效果图,如图 1 所示。
图 1 效果图(操作界面)
四、具体步骤
4.1、数据库设计
(1)创建数据表
创建一个名为“phpDemo”的数据库,并创建表“087”,表结构
评论0