Question

回应我之前关于SQL注入的问题。我试图建立一个PDO连接。

为此，我想用新的代码替换旧代码：

这是旧的

$conn = mysql_connect("localhost", "sec", "dubbelgeheim") or
            die('Error: ' . mysql_error());

    mysql_select_db("bookshop");

    $SQL = "select * from productcomment where ProductId='" . $input . "'";
    $result = mysql_query($SQL) or die('Error: ' . mysql_error());

    $row = mysql_fetch_array($result);
    if ($row['ProductId']) {
        echo "Product:" . $row['ProductId'] . "<br>";
        echo "Annotation:" . $row['Comment'] . "<br>";
        echo "TestOK!<br>";
    } else
        echo "No Record!";

    mysql_free_result($result);
    mysql_close();

这是新的：

$input = $_GET['input'];

if ($input) {
    $user= 'sec';
      $pass = 'dubbelgeheim';
    try {
        $dbConn = new PDO('mysql:host=127.0.0.1;dbname=bookshop', $user, $pass);
    } catch (PDOException $e) {
        print "Error!: " . $e->getMessage() . "<br/>";
        die();
    }
    $escaper = $db->real_escape_string($input);
    $statement = $db->prepare("SELECT * FROM productcomment WHERE ProductId = ? LIMIT 1");
    $statement->bind_param("s", $escaper);
    $statement->execute();
    $result = $statement->get_result();
    $statement->close();
    $count = $result->num_rows;
    if ($count > 0) {
        while ($row = $result->fetch_assoc()) {
            echo "Product:" . $row['ProductId'] . "<br>";
            echo "Annotation:" . $row['Comment'] . "<br>";
            echo "TestOK!<br>";
        }
    } 
    else {
        echo 'No record!';
    }
    $result->free();
    $db->close();
}

当我尝试这个新代码时..它出现以下错误：

错误！：SQLSTATE [HY000] [1045]拒绝用户访问＆＃39;秒＆＃39; @＆＃39;本地主机＆＃39; （使用密码：是）

我还尝试用127.0.0.1替换localhost。

我的目标是让我的页面安全用于SQL注入。

愿任何人都有一个很好的解决方案！

Answer 1

乍一看代码看起来不错。试试this解决方案。看起来这个匿名用户可能是问题所在。

编辑：（如评论中所述）

总结：建议的解决方案是删除此匿名用户。执行

DROP USER ''@'localhost';

我的pdo连接不起作用

1 个答案: