PDO::ATTR_EMULATE_PREPARES_会飞的胖达喵的博客-CSDN博客_emulate_prepares
PDO::ATTR_EMULATE_PREPARES
会飞的胖达喵
于 2016-04-21 10:38:51 发布
13495
收藏
分类专栏：
sql笔记
版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。
本文链接：https://blog.csdn.net/lengyue1084/article/details/51206703
版权
sql笔记
专栏收录该内容
35 篇文章
0 订阅
订阅专栏
关于5.4以上是不是需要设置准备语句参数为false
手册上
http://php.net/manual/zh/pdo.setattribute.php
https://msdn.microsoft.com/en-us/library/ff628176%28v=sql.105%29.aspx
没有说明5.4以上默认为关闭本地预处理（还是发送字符串，多参数）。
以下为网上查询的相关资料，稍后会抓包测试。
PDO有一项参数，名为PDO::ATTR_EMULATE_PREPARES ，表示是否使用PHP本地模拟prepare，此项参数默认值未知。而且根据我们刚刚抓包分析结果来看，php 5.3.6+默认还是使用本地变量转，拼接成SQL发送给MySQL Server的，我们将这项值设置为false,
DSN数据源指定编码charset="utf-8"
1.  php升级到5.3.6+，生产环境强烈建议升级到php 5.3.9+ php 5.4+，php 5.3.8存在致命的hash碰撞漏洞。   2. 若使用php 5.3.6+, 请在在PDO的DSN中指定charset属性
3. 如果使用了PHP 5.3.6及以前版本，设置PDO::ATTR_EMULATE_PREPARES参数为false（即由MySQL进行变量处理），php 5.3.6以上版本已经处理了这个问题，无论是使用本地模拟prepare还是调用mysql server的prepare均可。在DSN中指定charset是无效的，同时set names <charset>的执行是必不可少的。   4. 如果使用了PHP 5.3.6及以前版本, 因Yii框架默认并未设置ATTR_EMULATE_PREPARES的值，请在数据库配置文件中指定emulatePrepare的值为false。   那么，有个问题，如果在DSN中指定了charset, 是否还需要执行set names <charset>呢？
是的，不能省。set names <charset>其实有两个作用：
A.  告诉mysql server, 客户端（PHP程序）提交给它的编码是什么 B.  告诉mysql server, 客户端需要的结果的编码是什么
也就是说，如果数据表使用gbk字符集，而PHP程序使用UTF-8编码，我们在执行查询前运行set names utf8, 告诉mysql server正确编码即可，无须在程序中编码转换。这样我们以utf-8编码提交查询到mysql server, 得到的结果也会是utf-8编码。省却了程序中的转换编码问题，不要有疑问，这样做不会产生乱码。   那么在DSN中指定charset的作用是什么? 只是告诉PDO, 本地驱动转义时使用指定的字符集（并不是设定mysql server通信字符集），设置mysql server通信字符集，还得使用set names <charset>指令。
会飞的胖达喵
关注
关注
点赞
收藏
打赏
评论
PDO::ATTR_EMULATE_PREPARES
PDO有一项参数，名为PDO::ATTR_EMULATE_PREPARES ，表示是否使用PHP本地模拟prepare，此项参数默认值未知。而且根据我们刚刚抓包分析结果来看，php 5.3.6+默认还是使用本地变量转，拼接成SQL发送给MySQL Server的，我们将这项值设置为false,
复制链接
扫一扫
专栏目录
php盲注暴表语句
08-12
php 注入 常用代码 爆表，自已整理的一些脚本
PDO::ATTR_EMULATE_PREPARES属性设置为false引发的血案
01-19
1018
前段时间给pdo设置了下emulate_prepare属性，引发了这次的血案。在这记录下事情的经过，没准大家能避免同样的错误。
先说以下环境。php 5.2.5，mysql 5.0.81，服务器使用的GBK编码。
起因
首先是看到一个报错信息，说是sql语句的syntax err...
参与评论
您还未登录，请先
登录
后发表或查看评论
[PHP]PDO的ATTR_EMULATE_PREPARES属性带来的安全问题
Y4tacker的博客
02-27
2726
@Author：Y4tacker
@time：2021/01/27 11:10 AM.
PDO的ATTR_EMULATE_PREPARES属性带来的安全问题
这次的思考来源于我昨天对TP5.0.9进行SQL漏洞复现的时候所引发的思考
当时在PDO的prepare编译阶段报错直接抛出异常之后，在页面居然发现sql被执行了！！！
因为我们知道PDO分为三个阶段，prepare，bindParam和execute，如下所示
<?php
$dsn = 'mysql:dbname=test;host=l
学习笔记-关于PDO的一些事
最新发布
人饭子的博客
11-09
162
PDO主要是这个选项
PDO::ATTR_EMULATE_PREPARES => false
image-20220622131618003
这个选项涉及到PDO的”预处理”机制：因为不是所有数据库驱动都支持SQL预编译，所以PDO存在”模拟预处理机制”。如果说开启了模拟预处理，那么PDO内部会模拟参数绑定的过程，SQL语句是在最后execute()的时候才发送给数据库执行；如果我这里设...
MySQL-proxy代理导致PHP PDO::ATTR_EMULATE_PREPARES的预处理出错，MySQL报General error: 1243错误...
weixin_30498807的博客
08-08
376
背景：
用的ThinkPHP5的框架。（相比之前的3.2版本，版本5都用了PDO处理数据库）
症状：
报错信息：
SQLSTATE[HY000]: General error: 1243 Unknown prepared statement handler (1) given to mysqld_stmt_execute
　　
具体的错误SQL，可能是任何一...
PDO方式连接mysql可以防注入的原因
黑猫mm的博客
05-04
389
1. $stmt = $pdo->prepare('select * from user where id=?');
$id = 1;
$stmt->bindParam(1,$id);
$stmt - >execute();
这种情况下,PHP只是简单的将sql语句发送给mysql server,这与我们平时使用mysql_real_escape_st...
关于PDO的ATTR_EMULATE_PREPARES
weixin_38230961的博客
09-16
2019
1、ATTR_EMULATE_PREPARES=true(默认)
含义：本地prepare
详细：prepare不发送，execute时发送完整的sql
优点：当代码里频繁prepare，prepare放在本地，减轻mysql服务器压力
缺点：sql注入需要自己防范注意：会把数据库数据由int类型转成string，如果php跟object-c合作，可能有问题。需慎重！！！
2、ATTR_EMULATE_PREPARES=false
含义：服务端(mysql)prepare
详细：prepare时「que
php pdo attr_emulate_prepares,PDO::ATTR_EMULATE_PREPARES属性设置为false引发的血案
weixin_39566578的博客
04-14
201
前段时间给pdo设置了下emulate_prepare属性，引发了这次的血案。在这记录下事情的经过，没准大家能避免同样的错误。先说以下环境。php 5.2.5，mysql 5.0.81，服务器使用的GBK编码。起因首先是看到一个报错信息，说是sql语句的syntax error。这里给一个能重现的例子。报错的位置就是在红框的位置。 排查从上面看，看不出语法错误。然而GBK编码的“玕”字后一个字节是...
php pdo attr_emulate_prepares,PDO操作，设置了ATTR_EMULATE_PREPARES属性为false后发现还是在本地模拟prepare...
weixin_36352415的博客
04-14
133
PDO操作，设置了ATTR_EMULATE_PREPARES属性为false后发现还是在本地模拟prepare//连接数据库部分try{$dbh = new PDO('mysql:dbname=test;host=localhost','root','root');//设置捕获异常$dbh -> setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCE...
PDO防注入原理分析以及使用PDO的注意事项
老张的自言自语
03-24
243
我们都知道，只要合理正确使用PDO,可以基本上防止SQL注入的产生，本文主要回答以下两个问题：
为什么要使用PDO而不是mysql_connect？
为何PDO能防注入？
使用PDO防注入的时候应该特别注意什么?
一、为何要优先使用PDO?
PHP手册上说得很清楚：
Prepared statements and stored proceduresMany of the...
laravel框架使用总结(一)
不忘初心，方得始终
11-02
1134
1.数据库连接配置中设置[超时]等配置：
[参考链接：http://fideloper.com/laravel-pdo-connection-options]
因为有需求是需要从不同的host中通过sql请求来获取数据，所以需要设置超时时间。
首先找到连接配置文件：vendor/laravel/framework/src/Illuminate/Database/Connectors/Conn
PDO ATTR_EMULATE_PREPARES 格式化返回值
༺墨༒眉༻
03-16
166
\PDO::ATTR_ERRMODE => \PDO::ERRMODE_EXCEPTION,//需要将错误处理模式，变为异常模
\PDO::ATTR_EMULATE_PREPARES => false, // 启用或禁用预处理语句的模拟。true 会全部返回字符串
Pdo操作
dicuanwei4437的博客
12-31
44
1.pdo连接查询
$pdo_sql = "mysql:host=localhost;port=3306;dbname=test";
$user = 'root';
$password = '';
try {
$pdo = new PDO($pdo_sql, $user, $password);
$pdo->setAttribute(PDO::ATTR_EMULAT...
PDO预处理防御SQL注入
weixin_49183673的博客
04-07
4691
PDO可以被认作是一种通过编译SQL语句模板来运行SQL语句的机制。
查询仅需解析（或预处理）一次，但可以用相同或不同的参数执行多次。当查询准备好后，数据库将分析、编译和优化执行该查询的计划。对于复杂的查询，此过程要花费较长的时间，如果需要以不同参数多次重复相同的查询，那么该过程将大大降低应用程序的速度。通过使用预处理语句，可以避免重复分析/编译/优化周期。简言之，预处理语句占用更少的资源，因而运行得更快。
提供给预处理语句的参数不需要用引号括起来，驱动程序会自动处理。如果应用程序只使用预处理语句，可以
mysql 防注入 php,php操作mysql防止sql注入(合集)
weixin_32745019的博客
03-17
71
当一个变量从表单传入到php，需要查询mysql的话，需要进行处理。$unsafe_variable = $_POST['user_input'];用户可以输入诸如 ： value'); DROP TABLE table; ,SQL语句就变成这样了:执行的结果就是table表被删掉了。1.魔术引用 (推荐指数3)addslashes()用于对变量中的' " \和NULL添加\斜杠，用于避免传入sq...
mysql 1243_MySQL-proxy代理导致PHP PDO::ATTR_EMULATE_PREPARES的预处理出错，MySQL报General error: 1243错误...
weixin_35664144的博客
01-19
356
背景：用的ThinkPHP5的框架。(相比之前的3.2版本，版本5都用了PDO处理数据库)症状：SQLSTATE[HY000]: General error: 1243 Unknown prepared statement handler (1) given to mysqld_stmt_execute具体的错误SQL，可能是任何一条正常的SQL。不是每次必报错，是偶尔，但是出现频率较高。经过测试...
“相关推荐”对你有帮助么？
非常没帮助
没帮助
一般
有帮助
非常有帮助
提交
©️2022 CSDN
皮肤主题：书香水墨
设计师：CSDN官方博客
返回首页
会飞的胖达喵
CSDN认证博客专家
CSDN认证企业博客
码龄11年
暂无认证
441
原创
2万+
周排名
2万+
总排名
181万+
访问
等级
1万+
积分
210
粉丝
410
获赞
233
评论
1044
收藏
私信
关注
热门文章
CSS中box-sizing: border-box;的作用
65786
Android studio断点调试（全在这里）
61968
css 中“~”和“>”以及“ ””是什么意思
49051
App中如何实现消息推送
35396
linux解压覆盖命令
31914
分类专栏
系统笔记
81篇
c++
25篇
qt
4篇
网络编程
12篇
cmake
3篇
golang
198篇
git
12篇
数据结构
3篇
cgo
1篇
pb
5篇
WebRTC
3篇
kratos
7篇
k8s
1篇
rabbitMQ
4篇
微服务
1篇
consul
1篇
rpc
5篇
gin
2篇
php笔记
174篇
etcd
2篇
docker
21篇
胖达go系列
2篇
笔记
1篇
sql笔记
35篇
linux笔记
94篇
前端笔记
126篇
javascript
53篇
微信开发
4篇
mysql
27篇
android
31篇
laravel
40篇
安全
3篇
redis
8篇
nodejs
2篇
微擎
6篇
淘宝开放平台
Python
39篇
微信小程序
27篇
C#/ASP.NET
16篇
java
3篇
vue
36篇
最新评论
windows复制文件到 vmware centos虚拟机问题
坠金:
看到什么图片？
cgo 调用dll Failed to load xxxxx.dll: The specified module could not be found.
风流小小贼:
写的和没写一样
golang 用range 创建指针数组
舷Kelvin:
相当于range只拿个索引i，原本range语句自动给item/x赋值的部分用手写的x:=&arr[i]代替
Go bufio.Reader 结构+源码详解
Bunny丶:
写的很棒！
cdn使用vant的组件
李NN:
高质量
您愿意向朋友推荐“博客详情页”吗？
强烈不推荐
不推荐
一般般
推荐
强烈推荐
提交
最新文章
宝塔面板Nginx通过伪静态来实现禁止部分目录执行php脚本
int(1)和int(10)的区别
E1696 无法打开 源 文件 “string.h“
2022
09月
2篇
08月
4篇
07月
8篇
06月
22篇
05月
13篇
04月
8篇
03月
17篇
02月
7篇
01月
5篇
2021年187篇
2020年161篇
2019年96篇
2018年33篇
2017年137篇
2016年106篇
2015年14篇
2014年28篇
2013年136篇
目录
目录
分类专栏
系统笔记
81篇
c++
25篇
qt
4篇
网络编程
12篇
cmake
3篇
golang
198篇
git
12篇
数据结构
3篇
cgo
1篇
pb
5篇
WebRTC
3篇
kratos
7篇
k8s
1篇
rabbitMQ
4篇
微服务
1篇
consul
1篇
rpc
5篇
gin
2篇
php笔记
174篇
etcd
2篇
docker
21篇
胖达go系列
2篇
笔记
1篇
sql笔记
35篇
linux笔记
94篇
前端笔记
126篇
javascript
53篇
微信开发
4篇
mysql
27篇
android
31篇
laravel
40篇
安全
3篇
redis
8篇
nodejs
2篇
微擎
6篇
淘宝开放平台
Python
39篇
微信小程序
27篇
C#/ASP.NET
16篇
java
3篇
vue
36篇
目录
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
打赏作者
会飞的胖达喵
你的鼓励将是我创作的最大动力
¥2
¥4
¥6
¥10
¥20
输入1-500的整数
余额支付
(余额：-- )
扫码支付
扫码支付：¥2
获取中
扫码支付
您的余额不足，请更换扫码支付或充值
打赏作者
实付元
使用余额支付
点击重新获取
扫码支付
钱包余额
抵扣说明：
1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。 2.余额无法直接购买下载，可以购买VIP、C币套餐、付费专栏及课程。
余额充值