我一直在研究清理用户输入的最有效方法.我的应用程序是一个简单的发布请求,用于验证用户身份.从网上看,我可以找到十多种不同的“最佳”方法.这些方法很多都使用不推荐使用的php函数,或者看起来过于复杂.为了连接到我的sql数据库,我使用PDO类.
在搜索自己的函数时,我偶然发现了这一点:
Prepared statements with bound parameters are not only more portable, more convenient, immune to SQL injection, but are often much faster to execute than interpolated queries, as both the server and client side can cache a compiled form of the query.
我已经使用了prepare方法来创建我的语句.这是否意味着我可以抵御SQL注入攻击?我还要担心什么?
解决方法:
如果您通过准备好的语句将所有用户数据与PDO绑定在一起,则应该安全.您未绑定到SQL语句中的任何变量(如排序顺序)都属于开放式攻击向量.
标签:security,user-input,mysql,pdo
来源: https://codeday.me/bug/20191127/2074815.html
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
