PDO准备好的陈述有多安全

PDO准备好的陈述有多安全,第1张

PDO准备好的陈述有多安全

严格来说,实际上不需要转义,因为参数值永远不会插值到查询字符串中。

查询参数的工作方式是在调用时将查询发送到数据库服务器

prepare()
,然后在调用时将参数值发送到数据库服务器
execute()
。因此,它们与查询的文本形式分开存放。SQL注入永远不会有机会(提供的
PDO::ATTR_EMULATE_PREPARES
是错误的)。

因此,可以,查询参数可以帮助您避免这种形式的安全漏洞。

他们是否100%证明没有任何安全漏洞?不,当然不。您可能知道,查询参数仅在SQL表达式中代替单个文字值。您不能用单个参数替代值列表,例如:

SELECt * FROM blog WHERe userid IN ( ? );

您不能使用参数使表名或列名动态化:

SELECt * FROM blog ORDER BY ?;

您不能将参数用于任何其他类型的SQL语法:

SELECt EXTRACT( ? FROM datetime_column) AS variable_datetime_element FROM blog;

因此,在很多情况下,您必须在

prepare()
调用之前将查询作为字符串处理。在这些情况下,您仍然需要仔细编写代码以避免SQL注入。



欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zaji/5061896.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-11-16
下一篇 2022-11-16

发表评论

登录后才能评论

评论列表(0条)

保存