php实现防止SQL注入的两种方法介绍（代码示例）

PHP简单实现防止SQL注入的方法,结合实例形式分析了PHP防止SQL注入的常用操作技巧与注意事项，PHP源码备有详尽注释便于理解，需要的朋友可以参考下！

方法一：execute代入参数

 $var_Value) { //获取POST数组最大值 $num = $num + 1; //下标为i的数组存储的是商品id, 下标为j数组的存储的是此商品的库存 for($i=0;$isetAttribute(PDO::ATTR_EMULATE_PREPARES, false); //查询数据库中是否存在该ID的商品 //当调用 prepare() 时，查询语句已经发送给了数据库服务器，此时只有占位符 ? 发送过去，没有用户提交的数据 $stmt = $pdo- prepare( select good_id from delphi_test_content WHERE good_id = ?  //当调用到 execute()时，用户提交过来的值才会传送给数据库，他们是分开传送的，两者独立的，SQL攻击者没有一点机会。 $stmt- execute(array($_POST[$i])); //返回查询结果 $count = $stmt- rowCount(); //如果本地数据库存在该商品ID和库存记录，就更新该商品的库存 if($count != 0) $stmt = $pdo- prepare( update delphi_test_content set content = ? WHERE good_id = ?  $stmt- execute(array($_POST[$j], $_POST[$i])); //如果本地数据库没有该商品ID和库存记录，就新增该条记录 if($count == 0) $stmt = $pdo- prepare( insert into delphi_test_content (good_id,content) html' target='_blank'>values (?,?)  $stmt- execute(array($_POST[$i], $_POST[$j])); $pdo = null; //关闭连接? 

方法二：bindParam绑定参数

$var_Value) { //获取POST数组最大值 $num = $num + 1; //下标为i的数组存储的是商品id, 下标为j数组的存储的是此商品的库存 for($i=0;$iprepare( select good_id from delphi_test_content WHERE good_id = ?  $stmt- execute(array($_POST[$i])); $stmt- bindParam(1,$_POST[$i]); $stmt- execute(); //返回查询结果 $count = $stmt- rowCount(); //如果本地数据库存在该商品ID和库存记录，就更新该商品的库存 if($count != 0) $stmt = $pdo- prepare( update delphi_test_content set content = ? WHERE good_id = ?  $stmt- execute(array($_POST[$j], $_POST[$i])); $stmt- bindParam(1,$_POST[$j]); $stmt- bindParam(2,$_POST[$i]); $stmt- execute(); //如果本地数据库没有该商品ID和库存记录，就新增该条记录 if($count == 0) $stmt = $pdo- prepare( insert into delphi_test_content (good_id,content) values (?,?)  $stmt- bindParam(1,$_POST[$i]); $stmt- bindParam(2,$_POST[$j]); $stmt- execute(); $pdo = null; //关闭连接? 

以上就是php实现防止SQL注入的两种方法介绍（代码示例）的详细内容，PHP教程

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。