防止SQL注入 – 如果使用预准备语句,为什么要逃避输入？

“应该很清楚,为了避免SQL注入,应用程序应该使用预准备语句,存储过程和转义输入”

我的问题是：其中一种方法是不够的？好吧,准备好的语句或存储过程比简单的转义更好,但如果我使用PDO,为什么我应该转义输入或有一个存储过程？这有意义吗？

解决方法

It should be clear that to avoid SQL Injection,the application should use prepared statements,escape input,or filter application data before interpolating into an SQL string.

如果您要作为参数传递,则无需转义值.实际上,您不应该,因为您将在文档中插入文字反斜杠.

当您不能使用查询参数时,需要将字符串插入到SQL语句中.例子包括：

>表名和列名,它们的编号为own syntax for delimited identifiers.这些必须是准备时SQL查询的一部分,因此RDBMS可以解析和验证它们.
> SQL关键字,应该进行清理,但由于它们没有分隔,因此无法转义.
>其他语法或表达式.
>某些必须在准备时提供字面值的情况,例如： MySQL的全文功能不支持搜索模式的参数.

存储过程不能防止SQL注入.您可以在存储过程中准备和执行不安全的动态SQL语句.有关这方面的精彩故事,请参阅http://thedailywtf.com/Articles/For-the-Ease-of-Maintenance.aspx.

我在SQL Injection Myths and Fallacies的演讲中介绍了所有这些案例.这对您来说可能是一个有用的资源.

我还在我的书SQL Antipatterns: Avoiding the Pitfalls of Database Programming的一章中介绍了SQL注入防御.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!