PHP简单实现防止SQL注入的方法

2023-09-15 12:14:06 344

$var_Value){ //获取POST数组最大值 $num=$num+1; } //下标为i的数组存储的是商品id,下标为j数组的存储的是此商品的库存 for($i=0;$i<$num;$i=$i+2) { //库存下标 $j=$i+1; //判断传递过来的数据合法性 if(is_numeric(trim($_POST[$i]))&&is_numeric(trim($_POST[$j]))){ //禁用preparedstatements的仿真效果 $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES,false); //查询数据库中是否存在该ID的商品 //当调用prepare()时，查询语句已经发送给了数据库服务器，此时只有占位符?发送过去，没有用户提交的数据 $stmt=$pdo->prepare("selectgood_idfromdelphi_test_contentWHEREgood_id=?"); //当调用到execute()时，用户提交过来的值才会传送给数据库，他们是分开传送的，两者独立的，SQL攻击者没有一点机会。 $stmt->execute(array($_POST[$i])); //返回查询结果 $count=$stmt->rowCount(); //如果本地数据库存在该商品ID和库存记录，就更新该商品的库存 if($count!=0) { $stmt=$pdo->prepare("updatedelphi_test_contentsetcontent=?WHEREgood_id=?"); $stmt->execute(array($_POST[$j],$_POST[$i])); } //如果本地数据库没有该商品ID和库存记录，就新增该条记录 if($count==0) { $stmt=$pdo->prepare("insertintodelphi_test_content(good_id,content)values(?,?)"); $stmt->execute(array($_POST[$i],$_POST[$j])); } } } $pdo=null; //关闭连接 } ?>

$var_Value){ //获取POST数组最大值 $num=$num+1; } //下标为i的数组存储的是商品id,下标为j数组的存储的是此商品的库存 for($i=0;$i<$num;$i=$i+2) { //库存下标 $j=$i+1; //判断传递过来的数据合法性(此数据为商品编号以及库存，严格来说字符串全是由数字组成的) if(is_numeric(trim($_POST[$i]))&&is_numeric(trim($_POST[$j]))){ //查询数据库中是否存在该ID的商品 $stmt=$pdo->prepare("selectgood_idfromdelphi_test_contentWHEREgood_id=?"); $stmt->execute(array($_POST[$i])); $stmt->bindParam(1,$_POST[$i]); $stmt->execute(); //返回查询结果 $count=$stmt->rowCount(); //如果本地数据库存在该商品ID和库存记录，就更新该商品的库存 if($count!=0) { $stmt=$pdo->prepare("updatedelphi_test_contentsetcontent=?WHEREgood_id=?"); $stmt->execute(array($_POST[$j],$_POST[$i])); $stmt->bindParam(1,$_POST[$j]); $stmt->bindParam(2,$_POST[$i]); $stmt->execute(); } //如果本地数据库没有该商品ID和库存记录，就新增该条记录 if($count==0) { $stmt=$pdo->prepare("insertintodelphi_test_content(good_id,content)values(?,?)"); $stmt->bindParam(1,$_POST[$i]); $stmt->bindParam(2,$_POST[$j]); $stmt->execute(); } } } $pdo=null; //关闭连接 } ?>

PHP简单实现防止SQL注入的方法

热门推荐

随机推荐