php prepare

详见 https://stackoverflow.com/questions/134099/are-pdo-prepared-statements-sufficient-to-prevent-sql-injection/12202218#12202218

php pdo prepare真的能防止sql injection吗，这里

php使用pdo 连接mysql , 会使用prepare预处理, 也就是将除去具体查询值的SQL语句先送给mysql, 然后再把值发送给mysql, 能够避免sql注入

pdo 有一个属性 PDO::ATTR_EMULATE_PREPARES，为true, 即为php本地模拟这个prepare, 其时什么也没做，execute时把完整sql 发送给sql, 这时如果是gbk,很容易SQL注入

为false时，先把预处理发送给mysql, execute时, 再把值发送给mysql

当 PDO::ATTR_EMULATE_PREPARES 为 true时

php prepare-LMLPHP

当PDO::ATTR_EMULATE_PREPARES 为 false时

先发送 select * from table_uid_1 where k = ?

php prepare-LMLPHP

再发送103489 这个查询值

php prepare-LMLPHP

如果加上limit

public  function list() {

    $sql = "select * from " . $this->table . "_1 where k = :id limit :limit";

    $result = $this->pdo->prepare($sql);

    $id = ;

    $result->bindParam(':id', $id);

    $result->bindValue(':limit', );

    $result->execute();

    $list = $result->fetchAll(\PDO::FETCH_ASSOC);

    return $list;

}

当 PDO::ATTR_EMULATE_PREPARES 为 true时, sql报错

php prepare-LMLPHP

执行的语句是 select * from table_uid_1 where k = '103489' limit '0'

解决方法是 bindValue时，标注下类型, 即

public  function list() {

    $sql = "select * from " . $this->table . "_1 where k = :id limit :limit";

    $result = $this->pdo->prepare($sql);

    $id = ;

    $result->bindParam(':id', $id);

    $result->bindValue(':limit', , \PDO::PARAM_INT);

    $result->execute();

    $list = $result->fetchAll(\PDO::FETCH_ASSOC);

    return $list;

}

或者设置 PDO::ATTR_EMULATE_PREPARES 为 false

php prepare-LMLPHP

传递值

php prepare-LMLPHP

tcpdump抓取数据

　　tcpdump tcp port 3318 -w /tmp/target.ca

wireshark 分析tcpdump出来的包分析

过滤条件：

在wireshark的过滤条件里输入tcp.port==3306 && mysql，然后回车，这样就能只显示mysql类型的包。

php prepare-LMLPHP