脚本宝典收集整理的这篇文章主要介绍了php pdo防sql注入原理 php连接池,脚本宝典觉得挺不错的,现在分享给大家,也给大家做个参考。
pdo防SQL注入原理
class PdoTest()
{
protected $db;
protected $user;
protected $pass;
public function __construct($user = 'root', $pass = 123456)
{
$this->user = $user;
$this->pass = $pass;
$this->db = new PDO('mysql:host=localhost;dbname=test', $this->user, $this->pass);
}
function test()
{
//$userName = "tomener' or 1=1;--";
$userName = 'tomener';
$userName = isset($_GET['userName']) ? trim($_GET['userName']) : $userName;
echo '<br>' . $userName . '<br>';
// 方式一
$sql = 'select * from user where userName = ? and status = ?';
$stmt = $this->db->prepare($sql);
$stmt->execute(array($userName, 1));
$user_info = $stmt->fetch(PDO::FETCH_ASSOC);
echo '<pre>';var_dump($user_info);
// 方式二
$sql = "select * from user where userName = '". $userName ."' and status = 1"
$stmt =$this->db->prepare($sql);
$stmt->execute();
$user_info = $stmt->fetchAll(PDO::FETCH_ASSOC);
echo '<pre>';var_dump($user_info);
}
}
$PdoTest = new PdoTest();
$PdoTest->test();访问:
http://localhost/PdoTest.php
状态:方式一、方式二都正常
访问:
http://localhost/PdoTest.php?userName=tomener' or 1=1;--
http://localhost/PdoTest.php?userName=tomener%27%20or%201=1;--
状态:方式一返回false,方式二返回user表所有数据
问题来了,为什么pdo预处理能正确处理sql注入呢?
mysql预处理语句,mysql支持预处理,sql已经预编译好了,坑已经挖好了,来一个填一个,不会改变原本sql的意思,那么后面的or 1=1;--根本不会被mysql编译成执行计划,被当作普通的字符串处理,没任何意义。
通俗的理解,就像是填空题,你只能在括号里面填写内容,并且这句话是预知的,如果这句话的意思都变了,那么就出现异常了,当然这样的理解不准确
获取姓名是()并且状态为()的用户,
如果是sql注入,那么就变成,
获取姓名是()或者所有用户
显然,这和我们预先设定的意思是不一样的
php连接池
方式一:
程序使用持久连接(PDO::ATTR_PERSISTENT)访问数据库,则一个PHP-FPM工作进程对应一个到MySQL的长连接.
请求结束后,PHP不会释放到MySQL的连接,以便下次重用,这个过程对程序是透明的.
这可以看作是PHP-FPM维护的"数据库连接池".
假如你的服务器有12个核心(超线程),你开启24个PHP-FPM工作进程.需要注意的是,PHP-FPM的进程数pm.max_children不要多于MySQL的最大连接数max_connections(默认151)
<?php
$app = array(
'db_host' => '127.0.0.1',
'db_username' => 'root',
'db_password' => '',
'db_name' => 'mybase',
'db_port' => 3306,
'db_pconnect' => true
);
$dsn = "mysql:dbname=$app[db_name];host=$app[db_host];port=$app[db_port];charset=utf8";
$db = new PDO($dsn, $app['db_username'], $app['db_password'], array(
PDO::ATTR_PERSISTENT => $app['db_pconnect'],
PDO::ATTR_EMULATE_PREPARES => false,
PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8'
));方式二:可以使用swoole扩展来实现。
具体参考: 基于swoole扩展实现真正的PHP数据库连接池
方式三:PDO加上ODBC
参考文档:参数化查询为什么能够防止SQL注入
以上是脚本宝典为你收集整理的php pdo防sql注入原理 php连接池全部内容,希望文章能够帮你解决php pdo防sql注入原理 php连接池所遇到的问题。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。