PDO 与内爆数组一起逃逸

Question

我目前正在学习 PDO（从 MySQLi 转移），因为 MySQLi 的预处理语句是，让我们说“sucky”。但是，我以前从未在此级别上完全尝试过 PDO。我正在尝试创建一个 PDO 数据库类，其中包含多个常用函数，以根据函数的给定信息构建查询。

这是我的 delete() 函数，用于从表中删除一行：

public function delete( $table, $where = array(), $limit = '' ) {
    $holders = array();
    $params = array();
    foreach( $where as $field ) {
        $holders[] = '?';
    }

    foreach( $where as $field => $value ) {
        $value = $value;
        $clause[] = "$field = " . implode( '', array_values( $holders  ) ) . "";
        $params[] = $value;
    }

    $table = $this->prepend_table( $table );

    $sql = "DELETE FROM {$table} WHERE " . implode( 'AND ', $clause );
    if( !empty( $limit ) ) {
        $sql .= " LIMIT {$limit}";
    }

    try {
        $stmt = $this->connection->prepare( $sql );
        $stmt->execute( $params );
        return true;
    } catch( PDOException $e ) {
        die( 'Query Error: ' . $e->getMessage() );
        exit;
    }
}

如您所见，我正在从 MySQL 语句中的参数中分解数组，然后准备并执行已构建的查询。

现在，在我之前的问题中，有人提到使用 implode() 和准备语句 - 就像我上面所说的那样，非常危险，我应该对 PDO 使用“escape”。现在，我知道 MySQLi 有 real_escape_string，但我将如何处理我的删除（和其他函数）并尽可能保证它的安全。

由于我是 PDO 的新手，如果我遗漏了任何检查（或我可以做的任何其他事情以确保其安全），请告诉我 - 一旦完成，我将询问代码审查基地审查我的课程以确保它是安全的。

Answer 1

请注意，因为您使用的是准备好的语句，根据 PHP 文档中的引用，您不需要这样做。

如果您使用此函数构建 SQL 语句，强烈建议您使用 PDO::prepare() 来准备带有绑定参数的 SQL 语句，而不是使用 PDO::quote() 将用户输入插入到 SQL 语句中.带有绑定参数的预处理语句不仅更便携、更方便、不受 SQL 注入的影响，而且执行起来通常比插值查询快得多，因为服务器端和客户端都可以缓存查询的编译形式。

这样就可以避免整个转义过程。

但是，供您参考的是 PDO 的 quote 函数，

<?php
$conn = new PDO('sqlite:/home/lynn/music.sql3');

/* Simple string */
$string = 'Nice';

echo 'Unquoted string: ' . $string . '\n';
echo 'Quoted string: ' . $conn->quote($string) . '\n';
?>

输出

Unquoted string: Nice
Quoted string: 'Nice'