准备好的语句和SQL注入

这个问题在这里已经有了答案:

  • PDO准备的语句是否足以防止SQL注入? 7个答案
  • 我如何防止PHP中的SQL注入? 28个答案

  • 简单的答案,不。 SQL注入包括输入用作SQL控件本身一部分的字符串,而不是查询部分的值。 通过参数化查询,您基本上将变量覆盖掉了,该变量覆盖受* _escape_string调用保护的情况,并且更安全。

    链接地址: http://www.djcxy.com/p/93753.html

    上一篇: Prepared Statements and SQL Injection

    下一篇: Is sanitizing data + parameterisation in PDO oveekill?