作者:eechen
链接:https://www.zhihu.com/question/43581628/answer/153629026
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

因为prepare是把SQL模板发给MySQL编译,然后execute是把用户输入的参数交给MySQL套模板执行.PHP模拟预处理的意思就是数据库并不会有编译模板这一步,而是PHP自动转义用户输入的参数,相当于手动调用mysqli_real_escape_string($_GET['id']) 或 PDO::quote($_GET['id']),比如PHP的一个Query Builder库medoo.php用的就是PDO::quote转义用户输入的参数后query执行SQL.

WireShark里用tcp.port==3306过滤分析PHP和MySQL通信可见:

但并非所有数据库都支持预处理,像SQLite就不支持.
所以PHP提供了模拟预处理(默认开启),其本质是转义用户输入,相关函数是:
PDO::quote和mysqli_real_escape_string.
在模拟预处理下,绑定参数(bindParam/bind_param)本质也是转义,而非SQL模板和参数分离.

安全的转义依赖统一的编码:
http://php.net/mysqli_real_escape_string
http://php.net/manual/zh/mysqlinfo.concepts.charset.php
MySQLi中需要先用 $mysqli->set_charset('utf8') 定义字符集后,
才能确保 $mysqli->real_escape_string() 能够安全正确转义用户输入的字符串.
PDO_MySQL中需要在PDO()中用 charset=utf8 定义字符集后,
才能确保 PDO::quote() 能够安全正确转义用户输入的字符串.
PHP模拟预处理时,PDO的bindParam/bindValue/execute转义时底层用的应该也是PDO::quote().

占位符是如何防止sql注入的?相关推荐

  1. oracle占位符怎么打,PL/SQL Challenge 每日一题:2018-7-11 动态SQL中的占位符

    最先答对且答案未经编辑的puber将获得纪念章一枚(答案不可编辑但可发新贴补充或纠正),其他会员如果提供有价值的分析.讨论也可获得纪念章一枚. 每两周的优胜者可获得itpub奖励的技术图书一本. 以往 ...

  2. php mysql 占位符_PDO中预处理语句占位符的使用

    摘要:占位符在php程序中有着非常重要的作用,对数据安全也有着非常重要的意义,通过占位符我们可以有效验证传入参数的有效性,从而防止恶意的SQL注入攻击. 使用PDO时不使用预处理语句占位符也可以防止S ...

  3. mybatis能否预防SQL注入

    1.概念:什么是sql注入 SQL注入:是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段中. 它一种常见的攻击方式.攻击者在界面的表单信息或者URL上输入一些特殊的S ...

  4. java sql in 占位符_Java中SQL语句占位符的使用

    使用占位符的好处 在SQL语句中使用?来代替具体的数值,可除去繁琐的字符串拼接操作,且可避免SQL注入的风险String sql="SELECT * FROM user_login WHER ...

  5. java mysql 占位符_在Java中编写带占位符的SQL语句

    C#中SQL中带占位符的语句 假设有一张学员信息表Student,通过表中的ID来找学员,查询的SQL语句如下 string sql = string.Format("select * fr ...

  6. pdo mysql防注入_Php中用PDO查询Mysql来避免SQL注入风险的方法

    当我们使用传统的 mysql_connect .mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制.虽然可以用mysql_real_escape_ ...

  7. php安全编程—sql注入攻击

    原文:php安全编程-sql注入攻击 php安全编程--sql注入攻击 定义 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语 ...

  8. Mybatis之占位符与拼接符

    1.占位符 1.1  含义: 在持久化框架中,为了将约束条件中的可变参数从sql中分离出来,在原有的参数位置使用特殊的标记来标记该位置,后期通过代码给sql传递参数(即实现sql与代码分离开).这个特 ...

  9. SQL注入问题及预防方法

    SQL注入问题 sql存在漏洞,会被攻击导致数据泄露 SQL会被拼接 or package com.kuang.lesson02; import com.kuang.lesson02.utils.jd ...

  10. PrepareStatement对象(新增、删除、更新、查询、防止SQL注入)

    MySQL三十三:PrepareStatement对象 PrepareStatement 可以防止SQL注入,并且效率高! 1.新增 package lesson03;import lesson02. ...

最新文章

  1. 【原创】ASP.NET C# 盗取中国银行汇率表
  2. 以系统时间命名文件方法(C++)
  3. Facebook爆锤深度度量学习:该领域13年来并无进展!网友:沧海横流,方显英雄本色...
  4. confluence未授权模板注入/代码执行 cve-2019-3396
  5. 一文读懂:从 Python 打包到 CLI 工具
  6. helm uninstall命令的使用:卸载Release
  7. .net core 集成 sentry 进行异常报警
  8. git撤销commit 并保存之前的修改
  9. Docker本地私有仓库的建立
  10. VScode 搭建 django 开发环境(Win Python3.71 django1.11.11)
  11. Linux 学习课堂笔记1
  12. vue-router 如何在新窗口打开页面
  13. 实体链接在小布助手和OGraph的实践应用
  14. Easyui后台管理界面设计
  15. cisco Linux SRv6 实战踩坑记录
  16. 智能车那些事 4 常用电子元件之电容
  17. centos安装jq
  18. qLabel 字体大小不受控制
  19. 微信小程序和视频号通过交易组件对接打通流程
  20. 什么是红黑树(内存最优的二叉树)

热门文章

  1. oracle in table类型,Oracle Built-in Data Types(Oracle内置数据类型)
  2. hdu 1873“看病要排队”——优先队列的应用
  3. python批量录入学生信息_基于Python的学生信息管理系统
  4. idea运行android usb调试,IntelliJ IDEA
  5. ubunt Linux nginx,linux ubuntu系统安装nginx教程
  6. 【BZOJ3916】friends(hash+分情况讨论)
  7. linux 踢出其他用户,linux系统强制踢掉登录用户
  8. sklearn实现lasso regression以及调参
  9. c++ 写ftp服务器文件,C++实现的FTP服务器
  10. 对应node版本_Node.js 应用故障排查手册 —— Node.js 性能平台使用指南