如何使用Perl的DBI防止SQL注入攻击？

如何使用Perl的DBI防止SQL注入攻击？

清理要插入数据库的数据的正确方法是对所有要插入SQL字符串的变量使用占位符。换句话说，永远不要这样做：

my $sql = "INSERT INTO foo (bar, baz) VALUES ( $bar, $baz )";

而是使用

?

占位符：

my $sql = "INSERT INTO foo (bar, baz) VALUES ( ?, ? )";

然后在执行查询时传递要替换的变量：

my $sth = $dbh->prepare( $sql );$sth->execute( $bar, $baz );

您可以将这些 *** 作与某些DBI便捷方法结合使用。上面也可以这样写：

$dbh->do( $sql, undef, $bar, $baz );

有关更多信息，请参见DBI文档。