如何在mysqli_query和mysql_query中设置prepare security语句？ [重复]

This question already has an answer here:

How can I prevent SQL injection in PHP? 28 answers

Below shows the php code that I am using to register users into the system. I want to make it secure using prepare statement. Please help me on how to put prepare method to make it secure.

if (!isset($_POST['submit']))        {
     $user_name = $_POST['username']; 
      $user_password = crypt($_POST['password']); 
      $user_email = $_POST['email']; 

if($user_name && $user_password && $user_email)
    {
                // register user
        $query = mysql_query("INSERT INTO users (username, password, email, type) 
        VALUES ('$user_name', '$user_password', '$user_email', '0')");
        mysql_query($query); 

}
 }

</div>

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

doxp30826 2014-04-10 21:13

关注

if (isset($_POST['submit'])) { // Note: I removed the exclamation mark before isset because it made no sense
    $user_name = $_POST['username']; 
    $user_password = crypt($_POST['password']); 
    $user_email = $_POST['email']; 

    if($user_name && $user_password && $user_email) {
        $link = mysqli_connect('localhost', 'user', 'password', 'database');
        $stmt = mysqli_stmt_init($link);
        mysqli_stmt_prepare($stmt, "INSERT INTO `users` (`username`, `email`, `password`, `type`) VALUES (?,?,?)");
        mysqli_stmt_bind_param($stmt, 'sssi', $user_name, $user_password, $user_email, 0);
        mysqli_stmt_execute($stmt);
    }
}

This is using procedural style and the MySQLi extension. Do note that you are using MySQL which is deprecated so it is recommended to switch to MySQLi

本回答被题主选为最佳回答 , 对您是否有帮助呢?

报告相同问题？

关注问题

如何在mysqli_query和mysql_query中设置prepare security语句？ [重复] html mysql php
2014-04-10 21:05

回答 1 已采纳 if (isset($_POST['submit'])) { // Note: I removed the exclamation mark before isset because it mad
遇到mysqli_query问题，返回NULL但查询在phpmyadmin中有效 mysql php
2019-07-13 16:09

回答 1 已采纳 You are using the deprecated mysql_fetch function.Use the new one <?php // Create connecti
准备好的语句和mysqli_query / mysqli_num_rows？ php
2015-08-25 09:29

回答 1 已采纳 Change $query = "SELECT id FROM members WHERE name = $name AND password = $password"; to $que
mysql注入ctf_Web安全原理剖析-SQL Injection
2021-02-02 14:08

cici xiang的博客 0x01 预备知识Mysql的相关知识在MySQL 5.0之后，MySQL默认在数据库中存放一个”information_schema”的库，比较重要的三个表名:SCHEMATA、TABLES以及COLUMNS。information_schema.schemata:存储了所有库名。struct该...
PHP基本连接mysqli_query错误 mysql php
2017-07-24 14:09

回答 1 已采纳 Change these lines: static $connection; if (isset($connection)) { as below: static $connection
警告：mysqli_query（）期望参数1为mysqli，null为何？ php
2018-07-02 05:43

回答 1 已采纳 To output the data you need to use one of the fetching methods - in this case mysqli_fetch_assoc
如何在使用mysqli_multi_query时使用mysqli_fetch_row mysql php
2017-12-19 03:38

回答 2 已采纳 This should work for you: $con = mysqli_connect($localhost,$username,$password,'Table'); // Mak
mysql原始文件_避免原始MySQL扩展，第1部分
2020-08-12 16:19

culi3118的博客 mysql原始文件Experienced developers eschew the original MySQL extension because of its abandoned status in PHP. Nascent web developers, however, may be completely oblivious to its dormant past and ...
在mysqli_query中格式化 database mysql php
2016-12-05 00:29

回答 1 已采纳 After finding out where I went wrong previously, it appears that this code: $query = "SELECT Cham
PHP中的mysqli_query问题 - 查询在phpmyadmin中运行，而不在PHP中运行 mysql php
2018-05-20 15:29

回答 1 已采纳 One problem I see in your code is this line: mysqli_query('SET foreign_key_checks = 0'); You ha
mysqli_query（）需要至少2个参数＆mysqli_query（）：空查询错误消息 mysql php
2015-09-12 11:33

回答 3 已采纳 Instead of $query = mysqli_query("SELECT * FROM subscriptions WHERE email='$email'"); use $que
mysql原始文件_避免原始MySQL扩展，第2部分
2020-08-12 17:08

culi3182的博客 mysql原始文件In part one of this series we looked at what was wrong with the original MySQL API and how we can migrate to the newer, feature-rich MySQLi API. In this second part, we’ll be exploring ...
mysqli_query返回错误 mysql php
2014-02-09 18:17

回答 2 已采纳 you have the connection almost right but where is your database selector,also check your php exten
mysql api_为什么PHP删除了对MySQL API的支持
2020-07-19 23:01

cunchi8090的博客 mysql apiIntroduction (All good things must come to an end)The original MySQL API has gone away. It was deprecated (years ago) by PHP in Version 5.5, and removed from ...
mysql防注入代码_SQL注入之代码层防御
2021-01-19 00:44

一块石头子的博客 [目录]0x0 前言0x1 领域驱动的安全1.1 领域驱动的设计1.2 领域驱动的安全示例0x2 使用参数化查询2.1 参数化查询2.2 Java中的参数化语句2.3 .NET(C#)中的参数化语句2.4 PHP中的参数化语句2.5 PL/SQL中的参数化语句0X3...
学习前端安全：防止常见的Web攻击和漏洞：简单而有效
2023-07-25 00:31

禅与计算机程序设计艺术的博客安全是所有Web开发人员都需要...因此，在Web开发过程中，我们需要对安全问题保持警惕并采取必要的措施保障自己的网站和应用的安全。本文从前端安全角度出发，带领读者了解常见的Web攻击、攻击手段、防御方法等知识。
Brute Force
2020-02-04 19:16

angry_program的博客 real_escape_string函数，这个函数会对字符串中的特殊符号（x00，n，r，，’，”，x1a）进行转义，基本上能够抵御sql注入攻击，说基本上是因为查到说 MySQL5.5.37以下版本如果设置编码为GBK，能够构造编码绕过mysql_...
mysql 注入类型_sql多种注入类型介绍
2021-01-19 17:23

ww ww的博客 sql注入基础注入常见参数user()：当前数据库用户database()：当前数据库名version()：当前使用的数据库...如 concat(username,0x3a,password)group_concat()：和 concat() 类似，如 group_concat(DISTINCT+user,0x...
mysql 指南_MySQL-快速指南
2020-09-22 23:42

cunzai1985的博客 mysql 指南 MySQL-快速指南 (MySQL - Quick Guide) Advertisements 广告 Previous Page 上一页 Next Page 下一页 MySQL-简介 (MySQL - Introduction) 什么是数据库？ (What is a Database?) A ...
没有解决我的问题, 去提问

悬赏问题

¥15 改算法，照着压缩包里边，参考其他代码封装的格式写到main函数里
¥15 用windows做服务的同志有吗
¥60 求一个简单的网页(标签-安全|关键词-上传)
¥35 lstm时间序列共享单车预测，loss值优化，参数优化算法
¥15 Python中的request，如何使用ssr节点，通过代理requests网页。本人在泰国，需要用大陆ip才能玩网页游戏，合法合规。
¥100 为什么这个恒流源电路不能恒流？
¥15 有偿求跨组件数据流路径图
¥15 写一个方法checkPerson，入参实体类Person，出参布尔值
¥15 我想咨询一下路面纹理三维点云数据处理的一些问题，上传的坐标文件里是怎么对无序点进行编号的，以及xy坐标在处理的时候是进行整体模型分片处理的吗
¥15 一直显示正在等待HID—ISP

码龄粉丝数原力等级 --

如何在mysqli_query和mysql_query中设置prepare security语句？ [重复]

1条回答默认最新

码龄粉丝数原力等级 --

悬赏问题

如何在mysqli_query和mysql_query中设置prepare security语句？ [重复]

1条回答 默认 最新

悬赏问题

1条回答默认最新