感谢您提出有趣的问题。干得好:
它逃脱了危险人物,
您的概念完全错误。 实际上“危险人物”是神话,没有神话。和mysql_real_escape_string转义,但只是一个字符串定界符。从这个定义中,您可以得出它的局限性-仅适用于string。
但是,它仍然容易受到其他攻击的攻击,这些攻击可能包含安全字符,但可能有害于显示数据或在某些情况下恶意修改或删除数据。
您在这里混合了所有内容。 说到数据库,
对于字符串,它不是脆弱的。只要您的字符串被引用和转义,它们就不能 “恶意修改或删除数据”。* 对于其他数据类型data-是的,它没有用。但这不是因为它“不安全”,而是因为使用不当。 至于显示数据,我认为它在与PDO有关的问题中是题外话,因为PDO也与显示数据无关。
转义用户输入
^^^另一个需要注意的错觉!
用户输入与转义绝对无关。从前一个定义中可以了解到,您必须转义字符串,而不是“用户输入”。因此,再次:
您有转义字符串,无论其来源如何 无论源如何,都无法逃脱其他类型的数据。 明白了吗? 现在,我希望您了解转义的局限性以及“危险人物”的误解。
据我了解,使用PDO /预备语句更安全
并不是的。 实际上,我们可以动态添加四个不同的查询部分:
一个字符串 一个号码 标识符 语法关键字。 因此,您可以看到转义仅涵盖一个问题。(但是,当然,如果将数字视为字符串(用引号引起来),则在适用时也可以使其安全)
而准备好的语句涵盖了-嗯-全部2个问题!很大;-)
对于其他两个问题,请参阅我的早期答案:在PHP中,在向数据库提交字符串时,我应该使用htmlspecialchars()还是使用正则表达式来处理非法字符?
现在,函数名称有所不同,因此我的mysql_query,mysql_fetch_array,mysql_num_rows等不再起作用。
那是PHP 用户的另一种严重的幻想,一种自然灾害,一场灾难:
即使使用旧的mysql驱动程序,也永远不要在其代码中使用裸露的API函数!必须将它们放在某种库函数中以供日常使用!(这并不是一个魔术,只是为了使代码更短,更少重复,防错,更一致和可读性更高)。
PDO也是如此!
现在再次提出您的问题。
但是通过使用它们是否可以消除使用mysql_real_escape_string之类的东西的需要?
是。
但是我认为这大致是应该从数据库中获取用户的想法。
不是要获取,而是要向查询添加任何数据!
如果我没记错的话,你必须在PDO:PARAM_STR之后给出一个长度
您可以,但不必。
现在,这一切安全吗?
在数据库安全方面,此代码中没有弱点。没什么要固定的。
为了确保显示安全-只需在该网站上搜索XSS关键字即可。
希望我对此事有所了解。
顺便说一句,对于长插入,您可以使用我有一天写的函数,使用PDO插入/更新帮助器函数
但是,我目前不使用准备好的语句,因为我喜欢使用自制的占位符,而不要使用上面提到的库。因此,要对付下面的riha发布的代码,该代码将短于这两行:
$sql = 'SELECT * FROM users WHERE name=?s AND type=?s AND active=?i'; $data = $db->getRow($sql,$_GET['name'],'admin',1); 但是,当然,您也可以使用准备好的语句使用相同的代码。
(yes I am aware of the Schiflett's scaring tales)来源:stack overflow