php prepare
详见 https://stackoverflow.com/questions/134099/are-pdo-prepared-statements-sufficient-to-prevent-sql-injection/12202218#12202218
php pdo prepare真的能防止sql injection吗, 这里
php使用pdo 连接mysql , 会使用prepare预处理, 也就是将 除去具体查询值的SQL语句先送给mysql, 然后再把值发送给mysql, 能够避免sql注入
pdo 有一个属性 PDO::ATTR_EMULATE_PREPARES, 为true, 即为php本地 模拟这个prepare, 其时什么也没做,execute时把完整sql 发送给sql, 这时如果是gbk,很容易SQL注入
为false时,先把预处理发送给mysql, execute时, 再把值发送给mysql
当 PDO::ATTR_EMULATE_PREPARES 为 true时
当PDO::ATTR_EMULATE_PREPARES 为 false时
先发送 select * from table_uid_1 where k = ?
再发送103489 这个查询值
如果加上limit
public function list() {
$sql = "select * from " . $this->table . "_1 where k = :id limit :limit";
$result = $this->pdo->prepare($sql);
$id = ;
$result->bindParam(':id', $id);
$result->bindValue(':limit', );
$result->execute();
$list = $result->fetchAll(\PDO::FETCH_ASSOC);
return $list;
}
当 PDO::ATTR_EMULATE_PREPARES 为 true时, sql报错
执行的语句是 select * from table_uid_1 where k = '103489' limit '0'
解决方法是 bindValue时, 标注下类型, 即
public function list() {
$sql = "select * from " . $this->table . "_1 where k = :id limit :limit";
$result = $this->pdo->prepare($sql);
$id = ;
$result->bindParam(':id', $id);
$result->bindValue(':limit', , \PDO::PARAM_INT);
$result->execute();
$list = $result->fetchAll(\PDO::FETCH_ASSOC);
return $list;
}
或者 设置 PDO::ATTR_EMULATE_PREPARES 为 false
传递 值
tcpdump抓取数据
tcpdump tcp port 3318 -w /tmp/target.ca
wireshark 分析tcpdump出来的包 分析
过滤条件:
在wireshark的过滤条件里输入tcp.port==3306 && mysql,然后回车,这样就能只显示mysql类型的包。
最新文章
- CodeSimth - .Net Framework Data Provider 可能没有安装。解决方法
- 【十大经典数据挖掘算法】EM
- 递推 hdu 1396
- texlive2015+texstudio
- FAST特征点检测
- javascript 的button onclick事件不起作用的解决方法
- C#条件编译,发布多平台和多种选择性的项目
- 出现错误ActivityManager: Warning: Activity not started, its current task has been
- WCF 学习总结3 -- 实例模式
- windows桌面添加右键环境
- Huffman树及其应用
- android5.0----SVG
- Arduino String.h库函数详解
- 基于cookie使用过滤器实现客户每次访问自登陆一次
- SpringCloud的EurekaClient : 客户端应用访问注册的微服务(有断路器场景)
- Beta 冲刺(6/7)
- HDU - 6357 Hills And Valleys(DP)
- flask_admin 笔记七 扩展功能
- 4. 文本相似度计算-CNN-DSSM算法
- Unity3D笔记 英保通四 虚拟轴应用及键盘事件
热门文章
- Bourne Shell:控制语句、条件判断、文本处理、常用命令
- webkit com wrapper 推荐!
- Centos 7.2编译安装MariaDB-10.0.xx
- 在Linux(Ubuntu)下安装Arial、Times New Roman等字体
- tomcat运行为什么要依靠jdk
- UIWebView清除缓存和cookie[转]
- angularjs之事件绑定、解除事件绑定
- delphi http 403 获取不到服务器返回的错误消息 用浏览器打开url可以返回
- ERROR 3009 (HY000): Column count of mysql.user is wrong. Expected 45, found 43. Created with MySQL 5
- 关于 Kafka offset