正在消毒PDO oveekill中的数据+参数化?

 

这个问题在这里已经有了答案:

  • PDO准备的语句是否足以防止SQL注入? 7个答案

    • 这个问题有三种可能的答案。

  • 如果您只关注SQL注入,并且整个SQL查询在PHP脚本中进行了硬编码(如您的示例中所示),则只需要准备好语句。 因此sanitize_string是过度杀伤性的,而且是无关紧要的。
  • 如果您只关注SQL注入,并且动态组合一些SQL部分,则必须保护这些部分。 但是保护应该是特定于这些部分的,这使得sanitize_string相当无用。
  • 如果您担心的不仅仅是SQL注入,而且还有其他安全或可用性问题,那么您可能需要根据这些问题来清理或验证数据。 其中一种情况也可能使用sanitize_string。
    • 链接地址: http://www.djcxy.com/p/93751.html

    上一篇: Is sanitizing data + parameterisation in PDO oveekill?

    下一篇: using prepared statements