这个问题在这里已经有了答案:
PDO准备的语句是否足以防止SQL注入? 7个答案
这个问题有三种可能的答案。
如果您只关注SQL注入,并且整个SQL查询在PHP脚本中进行了硬编码(如您的示例中所示),则只需要准备好语句。 因此sanitize_string是过度杀伤性的,而且是无关紧要的。 如果您只关注SQL注入,并且动态组合一些SQL部分,则必须保护这些部分。 但是保护应该是特定于这些部分的,这使得sanitize_string相当无用。 如果您担心的不仅仅是SQL注入,而且还有其他安全或可用性问题,那么您可能需要根据这些问题来清理或验证数据。 其中一种情况也可能使用sanitize_string。
链接地址:
http://www.djcxy.com/p/93751.html
上一篇:
Is sanitizing data + parameterisation in PDO oveekill?
下一篇:
using prepared statements