0
由於我使用PDO來防止SQL注入,是否仍需要應用PHP的數據過濾器以確保輸入是正確的格式? PDO是否保護所有類型的注射?使用過濾日期過濾用戶輸入
$STH = $DBH->prepare("SELECT * from jem WHERE email=? AND pass=? LIMIT 0,1");
任何更多的提示登錄腳本將是幫助。
A
回答
1
在使用PDO之前,我想你正在驗證你的數據(例如使用一個驗證過濾器),然後在將它插入到你的數據庫之前將其轉義。現在,你只需要(但仍然需要)做第一件事。
關於你的第二個問題,PDO保護你免受SQL注入。在輸出之前,你仍然必須轉義html,以防止js代碼注入。
相關問題
- 1. 過濾用戶輸入
- 2. 過濾用戶輸入
- 3. 通過用戶輸入過濾ObservableCollection
- 4. 用戶輸入過濾 - 我需要過濾HTML嗎?
- 5. 使用過濾器設置日期字段過濾日期時間字段
- 6. 過濾用戶輸入的做法
- 7. PHP中的用戶輸入過濾
- 8. EXCEL VBA過濾器用戶輸入
- 9. 將用戶輸入過濾爲CSS
- 10. 基於用戶輸入過濾jqgrid
- 11. 過濾快速用戶觸摸輸入
- 12. SQL日期過濾
- 13. SQL過濾日期
- 14. 過濾按日期
- 15. 過濾按日期
- 16. 日期過濾器使用圖形API
- 17. 使用Isotop進行日期過濾
- 18. 使用Python過濾特定的日期
- 19. 使用Datepicker(AngularJS)過濾日期
- 20. 使用數組日期過濾功能
- 21. 在R中使用dplyr過濾日期
- 22. 使用MetaSearch按日期過濾軌道
- 23. 使用日期時間過濾器
- 24. 過濾日期在Oracle使用ADO.NET
- 25. 通過AJAX向用戶報告已過濾的用戶輸入
- 26. 在未輸入日期的日期字段上過濾
- 27. 可以過濾日期,但不能過濾日期時間?
- 28. 數據透視表,頁面過濾器 - 用日期過濾
- 29. 在MySQL中用於過濾AngularJS日期過濾器的日期格式
- 30. nodejs過濾輸入
是的,我會使用「HTML Purifier」去除不相關的HTML和所有服務器端的systax。 – proyb3 2010-09-18 21:50:08
但你的意思是,我仍然需要使用過濾數據功能? – proyb3 2010-09-18 21:53:54
「過濾數據功能」:這是什麼?一組函數來驗證/清理數據?然後是...一個名爲filter_data()的函數?我不知道這個功能。應該使用HTML Purifier(PDO不知道任何關於HTML的內容,所以它不能處理與之相關的安全風險) – greg0ire 2010-09-18 22:41:56