4
可否讓我很快就在這澄清,只是討論我有:PDO準備語句
使用這個作爲一個例子:
$conn->prepare ('SELECT * FROM table WHERE id = "' . $_POST['id'] . '"');
是否不防止SQL注入,你必須綁定參數或在準備聲明之前對值進行消毒?或者我錯了,只使用準備就完全可以嗎?
Q
PDO準備語句
A
回答
5
準備好的語句使用佔位符來插入值。您問題中的代碼片段已將值插入查詢中,因此很容易發生SQL注入。
下面的僞代碼亮點預處理語句:
$stmt = $conn->prepare('SELECT * FROM `table` WHERE `id` = ?');
$stmt->execute($_POST['id']);
在這個例子中,這背後的「代碼」的邏輯將照顧正確引用無論是在$_POST['id']而代問號?這一點。您還可能會遇到以下佔位符:但是
$stmt = $conn->prepare('SELECT * FROM `table` WHERE `id` = :id');
$stmt->execute(array(
'id' => $_POST['id']
));
注意的是,預處理語句不免除您的責任將其傳遞到(我的)SQL語句之前驗證用戶提供的輸入:如果id是預期是一個整數,只接受整數作爲輸入。
2
是的,它不能防止SQL注入,你應該使用
$conn->prepare ('SELECT * FROM table WHERE id = ?');
0
右鍵,你必須綁定參數從PDO的SQL注入保護中受益。
並記住,PDO不添加htmlspecialchars,所以如果這對你很重要,你必須自己做。
相關問題
- 1. PHP PDO準備語句
- 2. 緩存PDO準備語句
- 3. PDO準備語句參數
- 4. MYSQL-PDO準備語句
- 5. PDO準備的語句正確嗎?
- 6. PHP PDO - 輸出準備的語句
- 7. 的MySQL與PDO BETWEEN準備語句
- 8. PDO,Mysql和本地準備的語句
- 9. 驗證PDO準備語句中的password_hash()
- 10. PHP PDO準備更新語句,其中=
- 11. PostgreSQL的to_tsquery()與PDO的準備語句
- 12. Vertica和PDO準備的語句
- 13. PDO準備的語句導致SIGABRT
- 14. PDO準備語句不返回結果
- 15. PHPUnit - 如何模擬PDO準備語句
- 16. PHP PDO MySQL count()準備語句
- 17. PDO MySQL準備語句與可選的語句
- 18. PHP SQL更新語句轉換爲(PDO)準備語句
- 19. PHP PDO準備where子句
- 20. 強制PDO準備語句的準確字符串匹配
- 21. 準備語句UPDATE
- 22. 準備語句內部while循環生成的準備語句
- 23. PHP在準備好的語句中準備了語句
- 24. PDO準備語句如何幫助防止SQL易受攻擊的語句?
- 25. 從MySQL數據填充表使用php pdo準備語句
- 26. PHP PDO準備執行MySQL UPDATE語句不工作 - 難倒!
- 27. SphinxQL使用php mysqli/pdo並準備好語句
- 28. PDO在UPDATE中準備語句多個ID
- 29. PDO準備好的語句不返回結果
- 30. PHP PDO更新準備好的語句問題
重複的:http://stackoverflow.com/questions/1996344/is-preventing-xss-and-sql-injection-as-easy-as-does-這個 – phpmeh 2012-02-06 15:21:29
@AshleyBanks:我想最簡單的方法來解釋它給其他人的是,在你的例子中沒有查詢和參數的分離(這是什麼阻止注入),你只是將所有的東西都合併到查詢中(Hello注入!)。數據庫引擎對自己說,這個位是查詢,這個位是參數,它們不能改變角色,也不能合併在一起。如果他們仍然沒有得到它,真實的例子將會訣竅,畢竟看到的是相信。 – Leigh 2012-02-06 15:45:48