Laravel
话题列表 社区 Wiki 优质外文 招聘求职 Laravel 实战教程 社区文档
登录
注册

pdo 防注入的原理 [猜想]

lyxxxh 的个人博客 / 747 / 4 / 创建于 4年前 / 更新于 4年前

声明

来源我个人的猜想 ,仅供参考!!! 欢迎指正。

每个参数被''包涵

没有绑定的

pdo预防注入的原理猜想

预处理绑定

pdo预防注入的原理猜想

pdo预防注入的原理猜想

没有问题,因为id是数字。mysql只提取了前面的2做条件。

'转为\' (根本原因)

上面的想破坏很简单 传个'就好了。

没有绑定的

pdo预防注入的原理猜想

预处理绑定

pdo预防注入的原理猜想

pdo预防注入的原理猜想

总结

  1. mysql把每个参数都用''包围了
  2. 将有'的参数转化为\'

除非能让2失效,否则sql注入几乎不存在。

其他人的说法

pdo预防注入的原理猜想

哪怕参数中有sql命令也不会被执行,从而实现防治sql注入
我觉得是错误的说法。

个人对预处理的理解

预处理 绑定 执行
第一条sql走过这三个流程了,到第二条同样的sql绑定 执行 (只走两步)
后面依次如此。

预处理需要一点时间,比不绑定的慢(多个同样的命令就不一定了)。

预处理和防注入没有一点关系,只是pdo把参数处理了。

晚安~~

pdo database
本作品采用《CC 协议》,转载必须注明作者和本文链接
专心学习不瞎搞
lyxxxh
1.2k 声望
专心瞎搞不学习
《L01 基础入门》
《L01 基础入门》
我们将带你从零开发一个项目并部署到线上,本课程教授 Web 开发中专业、实用的技能,如 Git 工作流、Laravel Mix 前端工作流等。
《L03 构架 API 服务器》
《L03 构架 API 服务器》
你将学到如 RESTFul 设计风格、PostMan 的使用、OAuth 流程,JWT 概念及使用 和 API 开发相关的进阶知识。
讨论数量: 4
排序:
时间 投票
LadyKiller
0 声望

MySQL是支持原生的与处理的,只是在PHP模型层不同的框架封装的不一样而已,并且PDO处理的手段也不一样,其实底层,你可以使用MySQL的原生预处理,或者使用变量使用 引号的方式,都是可以的。至于你说的性能问题,如果是多次操作同样的SQL,只是不同的变量条件而已的话,那么预处理快很多,因为少了SQL上送的开销,以及SQL解析的开销等等。

4年前 评论
LadyKiller
0 声望

https://www.supjos.cn/archives/89.html

4年前 评论
lyxxxh
1.2k 声望

@LadyKiller 

1.  
   $sql = 'select * from test where id ='.$id;
   $this->connection->query($sql);
2.
   $sql = 'select * from test where id = :id';  
   $sth = $this->connection->prepare($sql);
   $res = $sth->execute([':id' => $id]);

第2段为什么能防注入? 抓包后我发现这两段代码的处理差别 请看上面<<总结>>。

你前部分说的是pdo的封装, 我只是单纯讨论pdo为什么能防注入;

后部分我是认同的;

4年前 评论
白小二
课程读者 143 声望 / 数据员 @ 牛头村民工

手动处理数据跟pdo预处理差别其实是不大的,pdo发送预处理语句跟参数到MySQLserver,由mysqlserver进行编译拼接运行,能从根本上防注入,这是mysql提供的方法,要是不行,那就找MySQL开发者解决

3年前 评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!
支持 MD 帮助
lyxxxh
未填写
文章
87
粉丝
105
喜欢
480
收藏
717
排名:109
访问:8.7 万
私信
所有博文
文章归档
1 篇 2024 年 3 月 1 篇 2023 年 8 月 1 篇 2023 年 7 月 1 篇 2023 年 4 月 2 篇 2022 年 9 月 4 篇 2022 年 8 月 3 篇 2022 年 7 月 2 篇 2022 年 6 月 3 篇 2022 年 4 月 1 篇 2022 年 2 月 1 篇 2022 年 1 月 1 篇 2021 年 8 月 1 篇 2021 年 6 月 3 篇 2021 年 5 月 2 篇 2021 年 3 月 1 篇 2021 年 2 月 3 篇 2020 年 11 月 3 篇 2020 年 10 月 2 篇 2020 年 9 月 5 篇 2020 年 7 月 6 篇 2020 年 6 月 7 篇 2020 年 5 月 7 篇 2020 年 4 月 7 篇 2020 年 3 月 2 篇 2019 年 9 月 3 篇 2019 年 8 月 3 篇 2019 年 7 月 3 篇 2019 年 6 月 2 篇 2019 年 5 月 3 篇 2019 年 4 月 3 篇 2018 年 11 月
最新文章 最受欢迎
1个月前 git只提交固定文件 8个月前 简单丶靠谱的保证websocket客户端不断开 9个月前 Laravel接口幂中间件 1年前 Uniapp小程序蓝牙打印 打印遇到的坑和解决方案分享 1年前 Lumen扩展路由 实现Laravel资源路由
133 Laravel根据用户id生成四位数唯一邀请码 116 [手摸手带你创建php现代化框架] 教程终于写完了 33 一些代码写法推荐 29 记一次用户抢购商品导致服务器炸了 25 Hyperf 开发的动漫站记录
博客标签
php
4
 laravel
14
 database
4
 generator
2
 crud
3
 repository
1
 framework
1
 queue
1
 laravel-administrator
2
 pdo
1
 router
1
 homestead
1
 laravel扩展
2
 hyperf
1
 xian'tan
1
社区赞助商
成为赞助商

关于 LearnKu

LearnKu 是终身编程者的修道场
做最专业、严肃的技术论坛
LearnKu 诞生的故事

资源推荐

  • 《社区使用指南》
  • 《文档撰写指南》
  • 《LearnKu 社区规范》
  • 《提问的智慧》

    • 服务提供商

    其他信息

  • 成为版主
  • 所有测验
  • 联系站长(反馈建议)

    • 粤ICP备18099781号-6 | 粤公网安备 44030502004330号 | 违法和不良信息举报

    Summer 设计和编码

    请登录

    内容举报
    匿名举报,为防止滥用,仅管理员可见举报者。

    我要举报该,理由是:

    取消