php – 如何在PDO中使用/编写mysql_real_escape_string?

MySQL 前端之家
前端之家收集整理的这篇文章主要介绍了php – 如何在PDO中使用/编写mysql_real_escape_string?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

参见英文答案 > real escape string and PDO                                     3个
在我的代码中我试图将MysqL_real_escape_string转换为PDO语句.有人有关于如何在PDO中编写MysqL_real_escape_string的提示吗?

我在两行中使用MysqL_real_escape_string:
$userName = MysqL_real_escape_string($_ POST [‘username’]);
$password = sha1(MysqL_real_escape_string($_ POST [‘password’]));

  1. PHP
  2. ob_start();
  3. session_start();
  4. include("../database/db.PHP");
  6. $userName = MysqL_real_escape_string($_POST['username']);
  7. $password = sha1(MysqL_real_escape_string($_POST['password']));
  8. echo "MysqL_query($query);
  10. // $rows = $res->fetch(PDO::FETCH_ASSOC); 
  11. $rows = MysqL_fetch_assoc($res);
  12. echo "MysqL_num_rows($res) . "PHP");
  13. // }
  14. // else
  15. // {
  16. //  echo 'Username and password dont match 
    PHP?loginerror=yes");
  17. // } 
  19. if(MysqL_num_rows($res)>0)
  20. {
  21.     $_SESSION['userName']  =  $rows['admin_usr_name'];
  22.     $_SESSION['admin_id'] = $rows['admin_id'];
  23.     header("location: ../pages/content.PHP");
  24. }
  25. else
  26. {
  27.     echo 'Username and password dont match 
    PHP?loginerror=yes");
  28. }

?>

这就是我试图用PDO做的事情

  1.   $host = "localhost"; 
  2. $user = "root"; 
  3. $password = "root";
  4. $db = "blog";
  6. $dsn = "MysqL:host=$host;dbname=$db;charset=utf8";
  7. $opt = array(PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC);
  8. $pdo = new PDO($dsn,$user,$password,$opt);
  10. $username = $_POST['username'];
  11. $password = $_POST['password'];
  12. $query = "select * from tbladmin where admin_usr_name=:userName and admin_pwd=:passWord";
  14. try 
  15. {   
  16. $databas = new PDO($dsn,$password);
  17. } 
  18. catch (PDOException $e) 
  19. {
  20. echo 'Connection Failed: ' . $e->getMessage();
  21. }
  23. $statement = $databas->prepare($query);
  25. $statement->execute(array(':userName'=>$username,':passWord'=> $password)); 
  26. $row = $statement->fetch();

我总是得到这个错误
在非对象上调用成员函数prepare()

最佳答案
关键是通过使用带参数化查询和绑定值的预准备语句,您不需要诸如MysqL_real_escape_string之类的东西.

查看PDO documentation有关如何使用绑定值和参数化查询/预准备语句的信息.

关键是你要编写一个SQL查询

  1. $query = $pdo->prepare("SELECT * FROM users WHERE username = ? and password = ?");

然后你会传入绑定值代替?符号,因此查询只是按字面意思运行:

  1. $query->bindParam(1,$username);
  2. $query->bindParam(2,$password);

任何类型的sql注入尝试,例如1′; DROP用户 – 在上面的变量中将不再起作用,因为它将按字面意思调用.

mysql

猜你在找的MySQL相关文章

Mysql通过frm和ibd恢复数据库
昨天的考试过程中,有个考点的服务器蓝屏重启后发现Mysql启动不了(5.6.45 x32版本,使用in...
MySQL 数据库中的数据类型
整数类型 标准 SQL 中支持 INTEGER 和 SMALLINT 这两种类型,MySQL 数据库除了支持这两种类...
MySQL Select 语句执行顺序
一条 SQL 查询语句结构如下: SELECT DISTINCT <select_list> FROM &lt...
MySQL 数据备份与恢复
数据备份 1. 备份数据库 使用 mysqldump 命令可以将数据库中的数据备份成一个文本文件,表...
MySQL 大表拆分
概述 在实际工作中,在关系数据库(MySQL、PostgreSQL)的单表数据量上亿后,往往会出现查...
MySQL 索引详解
索引的含义和特点 索引是创建在表上的,是对数据库表中一列或多列的值进行排序的一种数据结...
MySQL 索引失效场景总结
查询条件有 or 假设在 customer_name 字段设置了普通索引,执行以下 sql: # type: ref, p...
MySQL 主从复制
概述 MySQL 的高可用主要通过主从复制来实现,同时在主从复制的基础上可以构建一个 MySQL ...
MySQL 日志管理
概述 日志文件记录 MySQL 数据库运行期间发生的变化,当数据库遭到意外的损害时,可以通过...
MySQL 事务和锁
事务概述 当多个用户访问同一份数据时,一个用户在更改数据的过程中,可能有其他用户同时发...
MySQLMsSQLOracleSqlitePostgre SQLMariadbMongoDBNoSQLHBaseJDBC
undo日志persistent-cmysql-error-postal-codesql-match-almysql-5.6mysql-8.0database-tri安装路径系统错误data_dir丢失文件主从同步sql_mode数据库目录匿名用户character_seID归零数据库位置查询表重复字段查询字段截断日志SUSPECT7391Remote ServeLinked Serve玄学问题登录不上开启远程访问