phppdosql注入

❶ php表单提交不同数据到数据库的不同表的不同字段怎么实现

你可以用 PHP 的 MySQLi 或 PDO 库来实现。
首先，你需要使用这些库中的函数连接数据库，然后把表单中的字段值插入到相应的数据表中。
例如，如果你使用 MySQLi，你可以这样写：
$conn = mysqli_connect("hostname", "username", "password", "database_name");
$rwid = $_POST['rwid'];
$rwdj = $_POST['rwdj'];
$rwzb = $_POST['rwzb'];
$sql1 = "INSERT INTO table_a (s) VALUES ('$rwid')";
mysqli_query($conn, $sql1);
$sql2 = "INSERT INTO table_b (d) VALUES ('$rwdj')";
mysqli_query($conn, $sql2);
$sql3 = "INSERT INTO table_c (f) VALUES ('$rwzb')";
mysqli_query($conn, $sql3);
如果你使用 PDO，你可以这样写：
$conn = new PDO("mysql:host=hostname;dbname=database_name", "username", "password");
$rwid = $_POST['rwid'];
$rwdj = $_POST['rwdj'];
$rwzb = $_POST['rwzb'];
$stmt1 = $conn->prepare("INSERT INTO table_a (s) VALUES (:s)");
$stmt1->bindParam(':s', $rwid);
$stmt1->execute();
$stmt2 = $conn->prepare("INSERT INTO table_b (d) VALUES (:d)");
$stmt2->bindParam(':d', $rwdj);
$stmt2->execute();
$stmt3 = $conn->prepare("INSERT INTO table_c (f) VALUES (:f)");
$stmt3->bindParam(':f', $rwzb);
$stmt3->execute();
希望这个答案对你有帮助。

❷ php中防止SQL注入的最好方法是什么

使用预备义语句和参数化查询。对于带有任何参数的sql语句都会被发送到数据库服务器，并被解析！对于攻击者想要恶意注入sql是不可能的！ 实现这一目标基本上有两种选择： 1.使用PDO(PHP Data Objects )：$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name'); $stmt->execute(array(':name' => $name)); foreach ($stmt as $row) { // do something with $row }2.使用mysqli:$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?'); $stmt->bind_param('s', $name); $stmt->execute(); $result = $stmt->get_result(); while ($row = $result->fetch_assoc()) { // do something with $row }PDO(PHP数据对象) 注意当使用PDO访问MySQL数据库真正的预备义语句并不是默认使用的！为了解决这个问题，你必须禁用仿真准备好的语句。使用PDO创建连接的例子如下： $dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass'); $dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); $dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);在上面例子中错误模式ERRMODE不是严格必须的，但是建议添加它。当运行出错产生致命错误时，这种方法脚本不会停止。并给开发人员捕捉任何错误的机会（当抛出PDOException异常时）。 setAttribute()那一行是强制性的，它告诉PDO禁用仿真预备义语句，使用真正的预备义语句。这可以确保语句和值在发送给MySQL数据库服务器前不被PHP解析(攻击者没有机会注入恶意的SQL). 当然你可以在构造函数选项中设置字符集参数，特别注意'老'的PHP版本（5.3.6）会在DSN中忽略掉字符集参数。 这里最重要的是，该参数值是和预编译的语句结合的，而不是和一个SQL字符串.SQL注入的工作原理是通过欺骗手段创建的SQL脚本包括恶意字符串发送到数据库.因此，通过发送实际的分开的sql参数,你会降低风险.使用准备好的语句时，你发送的任何参数，将只被视为字符串（虽然数据库引擎可能会做一些参数的优化，当然最终可能会为数字）.在上面的例子中，如果变量$name包含'sarah';DELETE * FROM employees,结果只会是一个搜索的字符串"'sarah';DELETE * FROM employees",你不会得到一个空表。 使用准备好的语句的另一个好处是，如果你在同一会话中多次执行相同的语句，这将只被解析和编译一次，给你一些的速度增长。

❸ PHP怎么防止sql注入

如果是字符串类型：addslashes() 这个函数，转义单双引号；
如果接收的参数属于整数型(id之类)：intval() 直接取出数字，丢弃后边的非数字字符；
或者使用PDO预处理语句，绑定参数的方式防止SQL注入。

❹ php如何防止sql注入

PHP防止sql注入是一个比较低级的问题了，这个问题其实在我大一上学期做第一个个人博客的时候就已经关注过了，不过简单的说一下关于PHP防注入的方式吧。

对于现在的防注入技术其实已经成熟了，对于一个站点该关心的不是防注入了，而是大规模高并发如何处理的问题，或者关于各种其他漏洞，比如现在世界上仍然有百分之80使用redis的站点存在redis漏洞，通过redis漏洞可以直接拿到机器的访问权限，一般来说都是直接给你种一个挖矿机器人来。

❺ 留言板防灌水功能应该怎么做怎么防止sql注入用PHP编写

防灌水：

1. 对无意义帖判定，比如：字数太少，纯数字，无意义的连续数字或字母。

2. 发帖时间间隔和发帖量

3. 系统设置一批关键词匹配，发现有类似的先设为需审核 ，由后台手动操作。

防sql注入

1. 先对提交数据中的危险字符过滤或编码。比如：名称或帖子标题，一定不能是html，直接进行htmlencode ，最后输出到页面上，也不会变成html，而是显示原始字符。对需要使用html的内容部分，过滤script，style等标签，或者直接用strip_tags 函数只保留必要的段落等排版标签。
   

2. 其次也可以考虑使用bbcode或markdown等对排版有限制的语法转义

3. 数据库操作使用pdo参数编译的模式，可以有效防止提交数据中的注入字符（会变成正常字符插入到数据库中，这也可以防止误判，因为很多IT类的技术帖需要在内容中有这些关键字）

❻ thinkphp怎么做才是安全的sql防注入

1. 注入的产生一般都是对用户输入的参数未做任何处理直接对条件和语句进行拼装.

   
   

   代码举例：

   //不安全的写法举例1

$_GET['id']=8;//希望得到的是正整数

$data=M('Member')->where('id='.$_GET['id'])->find();

$_GET['id']='8 or status=1';//隐患:构造畸形查询条件进行注入;

//安全的替换写法

$data=M('Member')->where(array('id'=>$_GET['id']))->find();//使用数组方式将自动使用框架自带的字段类型检测防止注入

$data=M('Member')->where(array('id'=>(int)$_GET['id']))->find();//类型约束

$data=M('Member')->where('id='.intval($_GET['id']))->find();//类型转换

$data=M('Member')->where(array('id'=>I('get.id','','intval')))->find();//本人习惯写法

$data=M('Member')->where(array('id'=>':id'))->bind(':id',I('get.id'))->select();//PDO驱动可以使用参数绑定

$data=M('Member')->where("id=%d",array($_GET['id']))->find();//预处理机制

//不安全的写法举例2

$_GET['id']=8;//希望得到的是正整数

$data=M()->query('SELECT * FROM `member` WHERE id='.$_GET['id']);//执行的SQL语句

$_GET['id']='8 UNION SELECT * FROM `member`';;//隐患:构造畸形语句进行注入;

2.防止注入的总的原则是<<根据具体业务逻辑,对来源于用户的值的范围,类型和正负等进行限制和判断>>,同时<<尽量使用THINKPHP自带的SQL函数和写法>>.

3.在THINKPHP3.2版本中的操作步骤是:
一：在项目配置文件中添加配置： 'DEFAULT_FILTER' => 'htmlspecialchars', //默认过滤函数
二: 使用框架带的I方法获取来自用户提交的数据;
例子：M('Member')->save(array('content'=>I('post.content')));这样添加的content内容是经过htmlspecialchars处理过的.

4.为COOKIE添加httponly配置

5.最新版本的thinkphp已经支持此参数。

9.富文本过滤

富文本过滤是，XSS攻击最令人头疼的话题，不仅是小网站，就连BAT这样的巨头也是三天两头的被其困扰.

❼ php增删改查带数据库显示添加成功

这个问题比较广泛，需要更多的背景和具体需求才能提供更准确的答案。通常情况下，实现带数据库的增删改查可以遵循以下步骤：
连接数据库：使用 PHP 的数据库扩展，如 mysqli 或 PDO，连接数据库。
查询数据库：执行 SQL 语句，从数据库中查询需要的数据。
增加数据：通过 SQL 语句将数据插入到数据库中。
更新数据：使用 SQL 语句更新数据库中的数据。
删除桥运数据：使用 SQL 语句删除数据库中的数据。
显示结果：将查询结果显示在网页上，通常滑卜是使用 HTML 和 CSS 构建页面，然后使用 PHP 代码将数据填充到页面中。
添加成功提示：在添加、更新、删除操作完成后，通过 PHP 代码向用户显示操作是否成功的提示信息。
在实现过程中，还需要考虑数据的安全性和可靠性，例如数据的验证和过滤，SQL 注入攻击的防范等。
至于如何在添加成功后向用户显示提示信息，通常可以通过 PHP 的会话管理机制（如 $_SESSION 变量）将消息存储起来，然后在页面中使用 PHP 代码读取消息并显示给用户。例如：
<?php
session_start();
if (isset($_SESSION['message'])) {
echo '<div class="success">' . $_SESSION['message'] . '</div>';
unset($_SESSION['message']);
}
?>
<!-- 表单等敏让梁其他内容 -->
<?php
// 执行添加操作
// 添加成功后，设置消息
$_SESSION['message'] = '添加成功';
// 跳转到其他页面
header('Location: /path/to/other/page.php');
?>
这样，当用户提交添加数据的表单后，成功添加数据并跳转到其他页面时，会在页面顶部显示“添加成功”的提示信息。

❽ php怎样使用参数化防止sql注入

可以使用php的pdo对象，有预处理查询功能可以防止注入，再有，注入sql无非就是基于你sql的拼接问题影响的执行sql，也可以不用pdo预处理，把获取查询的参数里面的非法字符比如单引号双引号等这些字符手动过滤也可以的