php – 如何在PDO中使用/编写mysql_real_escape_string?

MySQL 前端之家
前端之家收集整理的这篇文章主要介绍了php – 如何在PDO中使用/编写mysql_real_escape_string?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

参见英文答案 > real escape string and PDO                                     3个
在我的代码中我试图将MysqL_real_escape_string转换为PDO语句.有人有关于如何在PDO中编写MysqL_real_escape_string的提示吗?

我在两行中使用MysqL_real_escape_string:
$userName = MysqL_real_escape_string($_ POST [‘username’]);
$password = sha1(MysqL_real_escape_string($_ POST [‘password’]));

PHP
ob_start();
session_start();
include("../database/db.PHP");

$userName = MysqL_real_escape_string($_POST['username']);
$password = sha1(MysqL_real_escape_string($_POST['password']));
echo "MysqL_query($query);

// $rows = $res->fetch(PDO::FETCH_ASSOC); 
$rows = MysqL_fetch_assoc($res);
echo "MysqL_num_rows($res) . "PHP");
// }
// else
// {
//  echo 'Username and password dont match 
PHP?loginerror=yes");
// } 

if(MysqL_num_rows($res)>0)
{
    $_SESSION['userName']  =  $rows['admin_usr_name'];
    $_SESSION['admin_id'] = $rows['admin_id'];
    header("location: ../pages/content.PHP");
}
else
{
    echo 'Username and password dont match 
PHP?loginerror=yes");
}

?>

这就是我试图用PDO做的事情

  $host = "localhost"; 
$user = "root"; 
$password = "root";
$db = "blog";

$dsn = "MysqL:host=$host;dbname=$db;charset=utf8";
$opt = array(PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC);
$pdo = new PDO($dsn,$user,$password,$opt);

$username = $_POST['username'];
$password = $_POST['password'];
$query = "select * from tbladmin where admin_usr_name=:userName and admin_pwd=:passWord";

try 
{   
$databas = new PDO($dsn,$password);
} 
catch (PDOException $e) 
{
echo 'Connection Failed: ' . $e->getMessage();
}

$statement = $databas->prepare($query);

$statement->execute(array(':userName'=>$username,':passWord'=> $password)); 
$row = $statement->fetch();

我总是得到这个错误
在非对象上调用成员函数prepare()

最佳答案
关键是通过使用带参数化查询和绑定值的预准备语句,您不需要诸如MysqL_real_escape_string之类的东西.

查看PDO documentation有关如何使用绑定值和参数化查询/预准备语句的信息.

关键是你要编写一个SQL查询

$query = $pdo->prepare("SELECT * FROM users WHERE username = ? and password = ?");

然后你会传入绑定值代替?符号,因此查询只是按字面意思运行:

$query->bindParam(1,$username);
$query->bindParam(2,$password);

任何类型的sql注入尝试,例如1′; DROP用户 – 在上面的变量中将不再起作用,因为它将按字面意思调用.

原文链接:https://www.f2er.com/mysql/433666.html
mysql

猜你在找的MySQL相关文章

Mysql通过frm和ibd恢复数据库
昨天的考试过程中,有个考点的服务器蓝屏重启后发现Mysql启动不了(5.6.45 x32版本,使用in...
MySQL 数据库中的数据类型
整数类型 标准 SQL 中支持 INTEGER 和 SMALLINT 这两种类型,MySQL 数据库除了支持这两种类...
MySQL Select 语句执行顺序
一条 SQL 查询语句结构如下: SELECT DISTINCT <select_list> FROM &lt...
MySQL 数据备份与恢复
数据备份 1. 备份数据库 使用 mysqldump 命令可以将数据库中的数据备份成一个文本文件,表...
MySQL 大表拆分
概述 在实际工作中,在关系数据库(MySQL、PostgreSQL)的单表数据量上亿后,往往会出现查...
MySQL 索引详解
索引的含义和特点 索引是创建在表上的,是对数据库表中一列或多列的值进行排序的一种数据结...
MySQL 索引失效场景总结
查询条件有 or 假设在 customer_name 字段设置了普通索引,执行以下 sql: # type: ref, p...
MySQL 主从复制
概述 MySQL 的高可用主要通过主从复制来实现,同时在主从复制的基础上可以构建一个 MySQL ...
MySQL 日志管理
概述 日志文件记录 MySQL 数据库运行期间发生的变化,当数据库遭到意外的损害时,可以通过...
MySQL 事务和锁
事务概述 当多个用户访问同一份数据时,一个用户在更改数据的过程中,可能有其他用户同时发...
MySQLMsSQLOracleSqlitePostgre SQLMariadbMongoDBNoSQLHBaseJDBC
undo日志persistent-cmysql-error-postal-codesql-match-almysql-5.6mysql-8.0database-tri安装路径系统错误data_dir丢失文件主从同步sql_mode数据库目录匿名用户character_seID归零数据库位置查询表重复字段查询字段截断日志SUSPECT7391Remote ServeLinked Serve玄学问题登录不上开启远程访问