使用准备的语句

 

这个问题在这里已经有了答案:

  • PDO准备的语句是否足以防止SQL注入? 7个答案

    • 据我所知,SQL注入PDO几乎是不可能的(或者至少我还没有听说过这样做)。

    即使你使用mysql_real_escape,你仍然有可能在函数中出现一些微小的未知错误,或者在函数失败的情况下。 PDO的工作方式是,它首先“准备”,它列出了要做的事情,并列出了操作和作品。 然后它带来你输入的东西。 SQL注入通过进入查询进行工作

    简而言之, 

    $query = "INSERT INTO table(name) VALUES($name)";

    是脆弱的。 即使你逃脱了它,你也可能不完全安全。

    如果你准备它,它不会考虑$名称。 因此,黑客无法进入查询。 只有在它已经计算出要调用哪些操作之后,它才会相应地放入所有内容,从而使黑客几乎不可能以任何方式修改查询。

    链接地址: http://www.djcxy.com/p/93749.html

    上一篇: using prepared statements

    下一篇: Can this prepared statement prevent SQL injection?