mysql使用bind_param()参数绑定来防止SQL注入攻击

什么是sql注入攻击

在阅读这篇文章之前，我们必须要了解sql注入攻击的原理，下面我们使用一个简单的实例来介绍sql注入攻击，以php语言为例：

$username=\"manongjc\";
$pwd=\"123\";
$sql = \"SELECT * FROM table WHERE username = \'{$username}\' AND pwd = \'{$pwd}\'\"; 

此时sql语句为：

SELECT * FROM table WHERE username = \'manongjc\' AND pwd = \'123\'

这个sql语句没有问题，当数据库中存在用户名为manongjiaoc密码为123时，会查询出结果，否则不会查询到任何数据。

再看下面一种情况：

$username=\"manongjc\";
$pwd=\"123\' or \'1\'=\'1\";
$sql = \"SELECT * FROM table WHERE username = \'{$username}\' AND pwd = \'{$pwd}\'\"; 

此时sql语句为：

SELECT * FROM table WHERE username = \'manongjc\' AND pwd = \'123\' or \'1\'=\'1\'

这个时候or是mysql关键字，后面永远为真，所以能查询到结果。这就是SQL注入攻击。 

使用bind_param()参数绑定来防止SQL注入攻击

我们这样写就不会存在SQL注入攻击了：

<?php    
$username=\"manongjc\";
$pwd=\"123\' or \'1\'=\'1\";
$sql = \"SELECT * FROM table WHERE username = \'{$username}\' AND pwd = \'{$pwd}\'\";    
bindParam($sql, 1, $username, \'STRING\');  //以字符串的形式.在第一个问号的地方绑定$username这个变量    
bindParam($sql, 2, $pwd, \'STRING\');       //以字符串的形式.在第二个问号的地方绑定$pwd这个变量    
echo $sql;   
?>  

sql输出如下：

SELECT * FROM table WHERE username = \'aaa\' AND pwd = \'fdsafda\\\' or \\\'1\\\'=\\\'1\'