防止SQL注入攻击
使用预编译可以自动防止SQL注入攻击。
一般来说下面的案例是典型的容易受攻击的做法
$query = "select * from db_name where name='name' and password='xxxxxx' ";
//看看有没有查询到
if(查询到){
header("admin.php"); //登录成功,跳到管理员界面
}
else {
header("login.php"); //登录失败跳回到登录页面
}
为什么说上面的代码容易被攻击,因为要想让$query执行成功,很简单
只要这样写就可以了,
$query= " select * from db_name where name='name' and password='xx' or 1='1' ";
密码乱写也没关系,这句语句仍然会成功执行。
下面是解决办法:
1.采用预编译,就是mysqli_stmt类文件来执行数据库查询语句。
2.更改登录逻辑
第一步根据用户的名字来查询密码
然后再调用数据库获得密码与这个密码比对,通过之后再登录到管理员界面。这样就防止密码被看到,因为密码和用户名不是放在同一个数据表中,自然黑客就不能通过上面手段看到密码了。