什么是PDO，它与SQL注入有什么关系，为什么我应该使用它？

Actually I did google and got so many results, but I can't understand, because I'm new in this field.

So what is an easy way that what is PDO, why I should use this, what is SQL injection, etc. with an example?1

Actually now my code is like that.

config.php

<?php
    $mysql_hostname = "localhost";
    $mysql_user = "root";
    $mysql_password = "";
    $mysql_database = "testdb";
    $prefix = "";
    $bd = mysql_connect($mysql_hostname, $mysql_user, $mysql_password) or die("Could not connect database");
    mysql_select_db($mysql_database, $bd) or die("Could not select database");
?>

insert.php

<?php
    include('config.php');
    $account_no = $_POST['account_no'];
    $amount = $_POST['amount'];
    $save = mysql_query("INSERT INTO tableamount (account_no, amount) VALUES ('$account_no', '$amount',)");
    header("location: index.html");
    exit();
?>

index.html

<html>
    <body>
        <form action="amount.php" method="post" enctype="multipart/form-data" name="addroom">
            Account Number<br />
            <input name="account_no" type="text"/><br />

            Amount<br />
            <input name="amount" type="text"/><br />

            <input type="submit" name="Submit" value="Submit" id="button1" />
        </form>
    </body>
</html>

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

2条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
duanque19820925 2014-10-10 06:15
关注
Simply imagine this user input: "1'); TRUNCATE TABLE accounts; --", with your statement, if the user know what db structure you have, can easily drop everything from the db (assuming the db user have the authorizations.

Never use the user input directly in a sql query as you've done, always escape/cast before use.

PDO - PHP Data Objects - is a database access layer providing a uniform method of access to multiple databases.

It doesn't account for database-specific syntax, but can allow for the process of switching databases and platforms to be fairly painless, simply by switching the connection string in many instances.

Please read this link carefully, it explains why pdo should be used in php

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

为什么我的pdo变量始终未定义？ [重复] mysql php
2018-01-01 16:09

回答 1 已采纳 In your construct function, use the public variable $pdo_log $this->pdo_log = new PDO('mysql
如何使用PDO与依赖注入？ php
2017-09-13 21:39

回答 1 已采纳 I think that you are not using Dependency Injection because you are not actually supplying any dep
为什么SQL查询返回0？什么是实际查询？ mysql php sql
2017-05-05 06:10

回答 2 已采纳 When you use parameters they will be sent as is and escaped when needed. You write $q1 = "'%".$q.
SQL注入学习笔记
2023-03-29 13:18

玻璃洲的博客一个GBK编码汉字，占用2个字节：一个UTF-8编码的汉字，占用3-4个字节当Web应用程序的编码方式为GBK，而数据库的编码方式为UTF-8，且WAF利用AddSlashes0等函数对敏感字符进行转义时，此时可以利用Web应用程序和数据库...
为什么我们在PDO PHP中使用PDO :: closeCursor（）方法/函数？ mysql php
2018-02-21 20:11

回答 2 已采纳 Some databases does not support to execute and fetch the result from the next query until the prev
为什么PDO查询不能在服务器上运行？ mysql php
2018-12-21 16:45

回答 1 已采纳 Well I don't know if this is a bug or not, but adding dbname=dbname12 to below line everything sta
为什么在第二个函数调用PDO对象是NULL？ [重复] php
2019-03-17 05:06

回答 1 已采纳 Else case is missing from getDB function. when you call first time getDB there is no db instance.
大数据技术之数据安全与网络安全——CMS靶场(文章管理系统)实训
2023-11-25 00:25

星川皆无恙的博客数据与网络安全作为保障大数据系统正常运行的基石，同样备受关注。...本文通过CMS靶场实训，深入分析CMS系统的安全漏洞，探讨防范措施，提供实战经验和攻防能力，有助于加强大数据与网络安全意识。
在SQL Server上使用PDO时，为什么不能按列别名进行排序？ php sql
2013-07-14 22:15

回答 2 已采纳 I've managed to reproduce the problem with PHP 5.4 and SQL Server 2012. The problem seems to lie
在使用PDO创建SQLite数据库时，为什么要使用__DIR__？ database php sqlite
2016-10-20 16:17

回答 1 已采纳 First of all, you don't have to use PDO with SQLite. You can use it with mysql if you wish. And I
为什么我不能通过终端运行有效的PDO连接？ php
2015-08-14 22:26

回答 2 已采纳 I think, your unix_socket changed and you didn't change your php client php.ini First of all, get
pdo中使用参数化查询sql
2013-07-29 15:20

Zoe_Wang_ing的博客在使用参数化查询的情况下，数据库服务器不会将参数的内容视为SQL指令的一部份来处理，而是在数据库完成 SQL 指令的编译后，才套用参数运行，因此就算参数中含有具破坏性的指令，也不会被数据库所运行。唯一的...
为什么我会收到警告：使用PDO :: fetchColumn时非法字符串偏移？ mysql php
2016-02-19 19:06

回答 1 已采纳 The benefit of using fetchColumn() is that it returns a single value. This can slightly simplify y
BBS论坛系统详细设计与具体代码实现
2024-04-22 15:13

禅与计算机程序设计艺术的博客它为广大网友提供了一个公共的交流平台，使得人们可以在这里分享信息，交流想法，甚至结识新的朋友。本文将详细介绍BBS论坛系统的设计和实现过程，帮助读者更好地理解这一复杂的系统。 1.1 论坛系统的历史和发展
必看，关于sql的慢查询及解决方案
2022-11-11 18:12

西门飘雪VIP的博客 SQL中，广义的查询就是crud操作，狭义的查询仅仅是select查询操作，慢查询就是指广义的查询，否则为什么不叫慢查询、慢更新、慢删除。慢查询就是那些执行慢的sql语句，包括crud，一般是查询，所以称为慢查询问题1：...
【PHP 面向对象】面向对象(OOP)编程之PDO对象操作数据库知识点归纳总结（五）
2021-05-13 17:44

一纸荒凉 * Armani的博客 PDO对象PDO 是什么PDO 的特点开启 PDO扩展使用PDO连接数据库创建 PDO 对象使用PDO执行SQL语句1) exec() 方法2) query() 方法3) 预处理语句方式实战：完善登录注册功能 PDO 是什么 PDO 是 PHP Date Object（PHP 数据...
pdo 中使用参数化查询 sql
2011-08-10 14:04

weixin_30249203的博客 pdo 中使用参数化查询 sql http://anfirst.cn/archives/1030 方法 bindParam() 和 bindValue() 非常相似。唯一的区别就是前者使用一个PHP变量绑定参数，而后者使用一个值。所以使用bindParam是第二个...
PHP中PDO扩展库总结
2017-06-13 00:13

Json____的博客 2.PDO提供了一个数据库访问抽象层，无论你使用了什么样的数据库，都可以通过一致的函数执行查询和获取数据，大大简化了数据库的操作，并能够屏蔽不同数据库之间的差异使用pdo可以方便的进行跨数据库程序的开发，...
PHP之PDO预处理语句操作数据库
2017-12-09 18:06

u012600104的博客预处理语句更加常用定义在生成网页时，许多PHP脚本通常都会执行除参数之外，其他部分完全相同的查询语句，针对这种重复执行一个查询，每次迭代使用不同的参数情况，PDO提供了一种名为预处理语句(prepared stat
PDO常用方法详解
2017-07-24 17:21

夏雪爱上冬花的博客 PDO 是一个“数据库访问抽象层”，作用是统一各种数据库（MySQL、MSSQL、Oracle、DB2、PostgreSQL……）的访问接口，能轻松的在不同的数据库之间完成切换，使得数据库间的移植容易实现。开启PDO 在pho.ini中查找...
没有解决我的问题, 去提问

悬赏问题

¥15 各位请问平行检验趋势图这样要怎么调整？说标准差差异太大了
¥15 delphi webbrowser组件网页下拉菜单自动选择问题
¥15 wpf界面一直接收PLC给过来的信号，导致UI界面操作起来会卡顿
¥15 init i2c:2 freq:100000[MAIXPY]: find ov2640[MAIXPY]: find ov sensor是main文件哪里有问题吗
¥15 运动想象脑电信号数据集.vhdr
¥15 三因素重复测量数据R语句编写，不存在交互作用
¥15 微信会员卡等级和折扣规则
¥15 微信公众平台自制会员卡可以通过收款码收款码收款进行自动积分吗
¥15 随身WiFi网络灯亮但是没有网络，如何解决？
¥15 gdf格式的脑电数据如何处理matlab