这个 PDO 代码对 SQL 注入是否足够安全? [复制]

【问题标题】:Is this PDO code safe enough from SQL injection? [duplicate]这个 PDO 代码对 SQL 注入是否足够安全? [复制]
【发布时间】:2013-03-13 21:56:41
【问题描述】:

正如标题所说:这段代码对 SQL 注入是否足够安全?

有没有更好的方法来防止 SQL 注入?

<?php
$hostname   = "xxx";
$username   = "xxx";
$dbname     = "xxx";

$password   = "xxx";
$usertable  = "xxx";
$yourfield  = "xxx";

$db = new PDO('mysql:host='.$hostname.';dbname='.$dbname.'', $username, $password);
$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

$query = $db->prepare("INSERT INTO `$usertable` (first_name, last_name, username) VALUES (:first_name, :last_name, :username)");
$query->bindValue(':first_name', $_POST['first_name']);
$query->bindValue(':last_name',  $_POST['last_name']);
$query->bindValue(':username',   $_POST['username']);

$query->execute();
?>

【问题讨论】:

  • 这个问题更适合Code Review SE。 Code Review 是一个问答网站,用于分享您正在从事的项目中的代码以供同行评审。

标签: php html sql pdo code-injection


【解决方案1】:

如果您只使用上面代码中的准备语句,那么您是安全的。 AFIK 没有其他可能通过 SQL 注入攻击您的网站。

prepare 语句包含来自命令的数据,因此不能将 content 作为 SQL 语句的一部分执行。

【讨论】:

    【解决方案2】:

    是的,准备好的查询通常几乎 100% 不会受到 SQL 注入的影响。但是,我建议还将data_type 参数传递给PDO::bindParam()

    见:Are Prepared Queries 100% Safe Against SQL Injections

    【讨论】:

      【解决方案3】:

      Yes this PDO code safe enough from SQL injection.

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 1970-01-01
        • 2014-03-30
        • 2015-01-18
        • 1970-01-01
        • 1970-01-01
        • 2012-06-15
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode