PHP防止sql注入小技巧之sql预处理

- 日理万妓 2022-05-15 11:37 349阅读 0赞

我们可以把sql预处理看作是想要运行的 SQL 的一种编译过的模板，它可以使用变量参数进行定制。

我们来看下它有什么好处：

*  预处理语句大大减少了分析时间，只做了一次查询（虽然语句多次执行）。
 *  绑定参数减少了服务器带宽，你只需要发送查询的参数，而不是整个语句。
 *  预处理语句针对SQL注入是非常有用的，因为参数值发送后使用不同的协议，保证了数据的合法性。

这种预处理呢，可以通过两个方式，咱们这次要说的是mysqli。它任何时候都可以确保应用程序可以用相同的数据访问模式，比PDO要更加实用。

预处理呢，它有两种语句，一种是**dml**语句，另一种是**dql**语句。咱们先来看第一种：

<?php
    header('Content-type:text/html;charset=utf-8');
    $mysqli = new mysqli("127.0.0.1","root","root","test");
    $mysqli->query('set names utf8');
    
    $insert = $mysqli->prepare("insert admins (title,cookies,sta,lid) values (?,?,?,?)");
    $title = "cuijinpeng";
    $cookies = "luyaran201314";
    $sta = "1";
    $lid = 1;
    
    $insert->bind_param("sssi",$title,$cookies,$sta,$lid);
    $res = $insert->execute();
    if($res){
        echo 1;
    }else{
        echo $insert->error;
        echo 0;
    }
    
    $insert->close();
    $mysqli->close();

第二种呢，代码如下：

<?php
    header('Content-type:text/html;charset=utf-8');
    $mysqli = new mysqli("127.0.0.1","root","root","test");
    $mysqli->query('set names utf8');
    
    $select = $mysqli->prepare("select id,title,cookies,sta,lid from admins where id > ?");
    $id = "1";
    $select->bind_param("i",$id);
    $select->bind_result($id,$title,$cookies,$sta,$lid);
    $select->execute();
    
    while ($select->fetch()) {
        echo $id."---".$title."---".$cookies."---".$sta."---".$lid."<br>";
    }
    
    $select->close();
    $mysqli->close();

接下来，咱们就该看下这两种语句分别支持什么样子的sql了。

第一种呢，它支持insert、update、delete这三种类型的sql，第二种嘞，就是查询语句了。

完事那个bind\_param里的那个i，就是咱们传入参数的类型了，具体介绍如下：

*  i - integer（整型）
 *  d - double（双精度浮点型）
 *  s - string（字符串）
 *  b - BLOB（binary large object:二进制大对象）

我们传入的每个参数都需要指定类，这样通过告诉数据库参数的数据类型，可以降低 SQL 注入的风险。

好啦，本次记录就到这里了。

如果感觉不错的话，请多多点赞支持哦。。。