PHP PDO 准备好的语句是否需要转义？

Question

在PDO::Prepare page 上声明，

“通过消除手动引用参数的需要，有助于防止 SQL 注入攻击”

知道了这一点，有没有像 mysql_real_escape_string() 这样的 PHP 函数来处理 PDO 的转义问题？还是 PDO 会为我处理所有逃逸事件？

编辑

我现在意识到我问错了问题。我的问题真的是，“PDO 为我照顾什么？”我现在通过这些答案意识到，它实际上只消除了转义引号的需要。但是我仍然需要对传递给执行函数的值执行任何其他 PHP 清理调用。比如htmlentities()、strip_tags()...等...

Answer 1

PDO 不会转义变量。变量和 SQL 命令通过 MySQL 连接独立传输。 SQL 标记器（解析器）从不查看值。值只是逐字复制到数据库存储中，而不会造成任何伤害。这就是为什么不需要使用准备好的语句来整理数据的原因。

请注意，这主要是速度优势。使用 mysql_real_escape_string() 你首先在 PHP 中编组你的变量，然后向服务器发送一个低效的 SQL 命令，这不得不再次将实际的 SQL 命令与值隔离开来。这就是为什么人们常说安全优势只是隐含的，而不是使用 PDO 的主要原因。

如果你连接 SQL 命令并且实际上不使用准备好的语句（不好！），那么是的，PDO 仍然有一个转义函数：$pdo->quote($string)

Answer 2

这里很少有人了解转义是什么以及何时使用它。
转义本身不会使任何数据“安全”。它只是转义分隔符，以区分分隔符和部分数据。 field = 'it's me' 会导致错误，而field = 'it\'s me' 不会。这是逃跑的唯一目的。因此，它仅在您使用引号时才有效。如果你不这样做 - 转义将变得毫无用处。

您是否在占位符中使用引号？不，因此，没有逃避是明智的。

当您绑定变量时，它的工作方式非常不同：它不会将整个查询发送到服务器，而是将您准备好的查询与绑定数据分开发送。所以不能干涉。因此无法进行注射。

Answer 3

是与否：

• 您嵌入到语句字符串中的文字需要正常转义。
• 绑定到准备好的语句的值由库处理。

Answer 4

如果您准备一个语句并使用bindParam 或bindValue 提供变量，则不需要转义变量。请注意，这些函数假定变量包含一个字符串，因此如果您想使用布尔值或浮点数，请使用第三个参数来绑定值。

Answer 5

您不必担心。 PDO 不要求您在将数据传递到数据库之前对其进行转义。

编辑：为了清楚起见，我的意思是说，只要您将变量传递给您的参数（例如，表单字段的值），您就不必担心它。但是，例如，如果您传递已定义为字符串的变量，那么显然您需要转义该字符串中需要转义的任何内容，以避免破坏语法。但是，这甚至没有多大意义，因为 PDO 的主要优点之一是您将信息从用户传递到数据库而不必自己清理它，而且次数不多（如果有的话？）您将传递您自己定义的字符串。

另外，请确保您仍然为 type 清理数据。例如，如果您期望它是整数，请确保它是一个整数，如果您期望它是，请确保它小于或大于 x，等等。