mysql防注入pdo_php pdo防sql注入原理 php连接池

pdo防sql注入原理

PdoTest.php

class PdoTest()

{

protected $db;

protected $user;

protected $pass;

public function __construct($user = 'root', $pass = 123456)

{

$this->user = $user;

$this->pass = $pass;

$this->db = new PDO('mysql:host=localhost;dbname=test', $this->user, $this->pass);

}

function test()

{

//$userName = "tomener' or 1=1;--";

$userName = 'tomener';

$userName = isset($_GET['userName']) ? trim($_GET['userName']) : $userName;

echo '
' . $userName . '
';

// 方式一

$sql = 'select * from user where userName = ? and status = ?';

$stmt = $this->db->prepare($sql);

$stmt->execute(array($userName, 1));

$user_info = $stmt->fetch(PDO::FETCH_ASSOC);

echo '

';var_dump($user_info);

// 方式二

$sql = "select * from user where userName = '". $userName ."' and status = 1"

$stmt =$this->db->prepare($sql);

$stmt->execute();

$user_info = $stmt->fetchAll(PDO::FETCH_ASSOC);

echo '

';var_dump($user_info);

}

}

$PdoTest = new PdoTest();

$PdoTest->test();

访问:

http://localhost/PdoTest.php

状态:方式一、方式二都正常

访问:

http://localhost/PdoTest.php?userName=tomener' or 1=1;--

http://localhost/PdoTest.php?userName=tomener%27%20or%201=1;--

状态:方式一返回false,方式二返回user表所有数据

问题来了,为什么pdo预处理能正确处理sql注入呢?

mysql预处理语句,mysql支持预处理,sql已经预编译好了,坑已经挖好了,来一个填一个,不会改变原本sql的意思,那么后面的or 1=1;--根本不会被mysql编译成执行计划,被当作普通的字符串处理,没任何意义。

通俗的理解,就像是填空题,你只能在括号里面填写内容,并且这句话是预知的,如果这句话的意思都变了,那么就出现异常了,当然这样的理解不准确

获取姓名是()并且状态为()的用户,

如果是sql注入,那么就变成,

获取姓名是()或者所有用户

显然,这和我们预先设定的意思是不一样的

php连接池

方式一:

程序使用持久连接(PDO::ATTR_PERSISTENT)访问数据库,则一个PHP-FPM工作进程对应一个到MySQL的长连接.

请求结束后,PHP不会释放到MySQL的连接,以便下次重用,这个过程对程序是透明的.

这可以看作是PHP-FPM维护的"数据库连接池".

假如你的服务器有12个核心(超线程),你开启24个PHP-FPM工作进程.需要注意的是,PHP-FPM的进程数pm.max_children不要多于MySQL的最大连接数max_connections(默认151)

$app = array(

'db_host' => '127.0.0.1',

'db_username' => 'root',

'db_password' => '',

'db_name' => 'mybase',

'db_port' => 3306,

'db_pconnect' => true

);

$dsn = "mysql:dbname=$app[db_name];host=$app[db_host];port=$app[db_port];charset=utf8";

$db = new PDO($dsn, $app['db_username'], $app['db_password'], array(

PDO::ATTR_PERSISTENT => $app['db_pconnect'],

PDO::ATTR_EMULATE_PREPARES => false,

PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8'

));

方式二:可以使用swoole扩展来实现。

方式三:PDO加上ODBC

版权声明:本文为weixin_29801567原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。