SQL准备语句(PHP)

我试图了解SQL注入如何工作,以及如何防止它. HTML登录页面包含一个表格,一个表格,一个用户名和密码字段,以及一个提交按钮.
与mySQL数据库一起使用的PHP代码如下所示:

$conn = mysqli_connect($Host, $User, $Password, $DbName);
if (!$conn) {
 echo "Database connection error.";
 exit;
}
$query = "SELECT user_name, password from visitors where user_name = '".$_POST['user_name']."';";
$result = mysqli_query($conn, $query);
$row = mysqli_fetch_assoc($result);
$user_pass = md5($_POST['pass_word']);
$user_name = $row['user_name'];
if(strcmp($user_pass,$row['password']) != 0) {
 echo "Login failed";
}

为了防止SQL注入攻击,我试图实现准备好的语句,看看W3S网站和其他人.我想我需要更换

$query="SELECT user_name, password from visitors where user_name='".$_POST['user_name']."';";

用这样的东西:

$stmt = $conn->prepare("SELECT user_name, password from visitors where  user_name= ?");
if ($stmt->execute(array($_GET[‘user_name’]))) {
  while ($row = $stmt->fetch()) {
    $user_name = $row;
  }
} 

我不确定修正案的有效性.
此外,为了测试系统的漏洞是否已得到解决,我如何能够通过原始的,未经修改的代码访问系统?我试过了:

username: admin
password: ‘ or ‘1’=’1’ (and a number of other options too)
最佳答案
防止一阶,二阶和三阶注入的最佳方法,我建议您在使用正确的字符集时禁用“模拟准备语句”,并使用PDO和预处理语句.有关SQL注入如何工作以及PDO如何阻止它的更多信息can be found here.

转载注明原文:SQL准备语句(PHP) - 代码日志