php – PDO准备语句
发布时间:2020-12-13 17:40:31 所属栏目:PHP教程 来源:网络整理
导读:我可以快速澄清一下这个,只是我正在进行的讨论: 以此为例: $conn-prepare ( 'SELECT * FROM table WHERE id = "' . $_POST['id'] . '"' ); 不阻止SQL注入,您必须在放入prepare语句之前绑定参数或清理值吗?或者我错了,只使用准备就可以了? 解决方法 准备
|
我可以快速澄清一下这个,只是我正在进行的讨论:
以此为例: $conn->prepare ( 'SELECT * FROM table WHERE id = "' . $_POST['id'] . '"' ); 不阻止SQL注入,您必须在放入prepare语句之前绑定参数或清理值吗?或者我错了,只使用准备就可以了? 解决方法
准备好的语句使用占位符来插入值.您的问题中的代码段已经将值插入到查询中,因此容易进行SQL注入.
以下伪代码突出显示准备好的语句: $stmt = $conn->prepare('SELECT * FROM `table` WHERE `id` = ?');
$stmt->execute($_POST['id']);
在这个例子中,这个“代码”背后的逻辑将负责正确引用$_POST [‘id’]中的任何内容并替换问号?接着就,随即.您可能还会遇到以下占位符: $stmt = $conn->prepare('SELECT * FROM `table` WHERE `id` = :id');
$stmt->execute(array(
'id' => $_POST['id']
));
但请注意,准备好的语句不会减轻您在将其传递给(My)SQL语句之前验证用户提供的输入的责任:如果id应该是一个整数,则只接受整数作为输入. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |