那些遇到过的问题

如何在PDO中使用/编写mysql_real_escape_string?

Bru*_*vez 5 php mysql pdo

在我的代码中我试图将mysql_real_escape_string转换为PDO语句.有人有关于如何在PDO中编写mysql_real_escape_string的提示吗?

我在两行中使用mysql_real_escape_string:$ userName = mysql_real_escape_string($ _ POST ['username']); $ password = sha1(mysql_real_escape_string($ _ POST ['password']));

<?php
ob_start();
session_start();
include("../database/db.php");

$userName = mysql_real_escape_string($_POST['username']);
$password = sha1(mysql_real_escape_string($_POST['password']));
echo "<br>user: " . $userName;
echo "<br> pw: " . $password;

$query = "select * from tbladmin where admin_usr_name='$userName' and admin_pwd='$password'";

$res = mysql_query($query);

// $rows = $res->fetch(PDO::FETCH_ASSOC); 
$rows = mysql_fetch_assoc($res);
echo "<br>numrows" . mysql_num_rows($res) . "<br>";

// $find = $query->prepare("select * from tbladmin where admin_usr_name='$userName' and admin_pwd='$password'");
// $find->execute();
// if ($find->fetchColumn() > 0)
// {
// echo 'You made it, welcome';
//  $_SESSION['userName']  =  $rows['admin_usr_name'];
//  $_SESSION['admin_id'] = $rows['admin_id'];
//  header("location: ../pages/content.php");
// }
// else
// {
//  echo 'Username and password dont match <br/> Try again';
//  header("location: ../index.php?loginerror=yes");
// } 

if(mysql_num_rows($res)>0)
{
    $_SESSION['userName']  =  $rows['admin_usr_name'];
    $_SESSION['admin_id'] = $rows['admin_id'];
    header("location: ../pages/content.php");
}
else
{
    echo 'Username and password dont match <br/> Try again';
    header("location: ../index.php?loginerror=yes");
}
Run Code Online (Sandbox Code Playgroud)

?>

这就是我试图用PDO做的事情

  $host = "localhost"; 
$user = "root"; 
$password = "root";
$db = "blog";

$dsn = "mysql:host=$host;dbname=$db;charset=utf8";
$opt = array(PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC);
$pdo = new PDO($dsn,$user,$password, $opt);

$username = $_POST['username'];
$password = $_POST['password'];
$query = "select * from tbladmin where admin_usr_name=:userName and admin_pwd=:passWord";

try 
{   
$databas = new PDO($dsn, $user, $password);
} 
catch (PDOException $e) 
{
echo 'Connection failed: ' . $e->getMessage();
}

$statement = $databas->prepare($query);

$statement->execute(array(':userName'=>$username, ':passWord'=> $password)); 
$row = $statement->fetch();
Run Code Online (Sandbox Code Playgroud)

我总是得到这个错误:在非对象上调用成员函数prepare()

Pet*_*one 7

关键是通过使用带参数化查询和绑定值的预准备语句,您不需要诸如此类的内容mysql_real_escape_string.

查看PDO文档,了解如何使用绑定值和参数化查询/预准备语句.

关键是你要编写一个SQL查询:

$query = $pdo->prepare("SELECT * FROM users WHERE username = ? and password = ?");
Run Code Online (Sandbox Code Playgroud)

然后你会传入绑定值代替?符号,因此查询只是按字面意思运行:

$query->bindParam(1, $username);
$query->bindParam(2, $password);
Run Code Online (Sandbox Code Playgroud)

任何类型的SQL注入尝试(例如1'; DROP users --上面的变量内部)将不再起作用,因为它将按字面意思调用.

归档时间:

查看次数:

9050 次

最近记录:

12 年,10 月 前
PDO MySQL:是否使用PDO :: ATTR_EMULATE_PREPARES? 113
真正的转义字符串和PDO 83
更多相关链接
相关归档
增加最大邮政大小 54
根 composer.json 需要 php ^7.3 但您的 php 版本 (8.0.0) 不满足该要求 34
mysql时间戳为默认值null,而不是current_timestamp 25
缺少/var/lib/mysql/mysql.sock文件 21
PHP与APC:致命错误:无法重新声明课程 20
"'命令'命名空间中没有定义命令." 运行命令后:在Laravel中制作 20
如何在XAMPP中将MariaDB更改为MySQL? 18
我如何在c#console应用程序中执行CMD命令? 14
PDO事务和函数调用 12
如何将json转换为字符串 10
难疑归档
提高SQLite的每秒INSERT性能? 2880
2048游戏的最佳算法是什么? 1893
如何一致地跨浏览器对齐复选框及其标签 1668
Dockerfile中CMD和ENTRYPOINT有什么区别? 1484
const int*,const int*const和int const*之间有什么区别? 1262
对于Android Studio项目,我的.gitignore应该是什么? 1210
如何删除文本/输入框周围的边框(轮廓)?(铬) 1208
检查值是否是JavaScript中的对象 1194
如何使用SSH在远程计算机上运行shell脚本? 1164
迭代集合,在循环中删除对象时避免使用ConcurrentModificationException 1158