【发布时间】:2013-06-09 04:43:58
【问题描述】:
我知道应该使用 PDO 准备语句来避免 SQL 注入。它必须始终采用这种格式:
$stmt = $db->prepare('SELECT * FROM table where id = :id');
$stmt->execute( array(':id' => $_GET['id']) );
或者以下任何一种格式也会否定 SQL 注入?
版本 1
$queryString = "SELECT * FROM table WHERE id = ".$_GET['id'];
$stmt= $db->prepare($queryString);
$stmt->execute();
$row = $stmt->fetchAll(PDO::FETCH_ASSOC);
第 2 版
$stmt = $db->query("SELECT * FROM table WHERE id = ".$_GET['id']);
$row = $stmt->fetchAll(PDO::FETCH_ASSOC);
【问题讨论】:
-
通过在字符串中插入 id,您在某种程度上否定了像 PDO 那样添加参数的意义。这两个示例可能会起作用 - 您可以自己更轻松地进行测试 - 但第一个是唯一真正可以防止注入的示例
-
这段代码能用吗?你试过了吗?
-
绑定参数用于避免sql注入未准备好的语句
标签: php mysql pdo sql-injection