我能尽快澄清一下吗,只是我正在进行的讨论:
以此为例:
$conn->prepare ( 'SELECT * FROM table WHERE id = "' . $_POST['id'] . '"' );
不是否防止 SQL 注入,您必须在放入准备语句之前绑定参数或清理值吗?还是我错了,直接使用prepare就可以了?
【问题讨论】:
准备好的语句使用占位符来插入要插入的值。您问题中的代码 sn-p 已经将值插入到查询中,因此容易发生 SQL 注入。
以下伪代码突出显示预准备语句:
$stmt = $conn->prepare('SELECT * FROM `table` WHERE `id` = ?');
$stmt->execute($_POST['id']);
在此示例中,此“代码”背后的逻辑将负责正确引用 $_POST['id'] 中的任何内容并用它替换问号 ?。您可能还会遇到以下占位符:
$stmt = $conn->prepare('SELECT * FROM `table` WHERE `id` = :id');
$stmt->execute(array(
'id' => $_POST['id']
));
但是请注意,准备好的语句并不能免除您在将用户提供的输入传递给(My)SQL 语句之前验证用户提供的输入的责任:如果 id 预计为整数,则仅接受整数作为输入。
【讨论】:
是的,它不会阻止 SQL 注入,你应该使用
$conn->prepare ( 'SELECT * FROM table WHERE id = ?' );
【讨论】:
对,你必须绑定参数才能受益于 PDO 的 sql 注入保护。
请记住,PDO 不会添加 htmlspecialchars,所以如果这对您很重要,您必须自己做。
【讨论】: