个人中心
文章发布
退出
作者热门文章
- r - 以节省内存的方式增长 data.frame
- ruby-on-rails - ruby/ruby on rails 内存泄漏检测
- android - 无法解析导入android.support.v7.app
- UNIX 域套接字与共享内存(映射文件)
26
4
我一直在研究 PDO 的 bindValue()。我知道使用 PDO 准备 SQL 语句可以防止 SQL 注入(inject)。
代码示例:
$stmt = $dbh->prepare('SELECT * FROM articles WHERE id = :id AND title = :title');
$stmt->bindValue(':id', PDO::PARAM_INT);
$stmt->bindValue(':title', PDO::PARAM_STR);
$stmt->execute();
通过将 ID 绑定(bind)为一个数字,而标题是一个字符串,我们可以限制当有人试图在代码中进行 SQL 注入(inject)时造成的损害。
我们是否应该始终将我们的值与 PDO::PARAM_ 绑定(bind),以便我们可以限制在 SQL 注入(inject)中可以从数据库中提取的内容?在执行我们的 bindValue() 时,这会增加 PDO 的安全性吗?
最佳答案
有两个问题合二为一。重要的是不要混淆它们
而对于第二个,为了代码的完整性和 DRYness -
有很多方法可以避免手动绑定(bind)。其中一些是:
ORM 是简单 CRUD 操作的绝佳解决方案,现代应用程序中必须具备。它将完全向您隐藏 SQL,在幕后进行绑定(bind):
$user = User::model()->findByPk($id);
Query Builder 也是可行的方法,它在一些 PHP 运算符中伪装 SQL 但再次隐藏了幕后的绑定(bind):
$user = $db->select('*')->from('users')->where('id = ?', $id)->fetch();
一些抽象库可能会通过type-hinted-placeholders 处理传递的数据,再次隐藏实际的绑定(bind):
$user = $db->getRow("SELECT * FROM users WHERE id =?i", $id);
如果您仍在以上个世纪的方式使用 PHP,并且在代码中使用原始 PDO - 那么您可以在 execute() 中传递变量,仍然可以节省大量输入:
$stmt = $dbh->prepare('SELECT * FROM users WHERE id = ?');
$stmt->execute([$id]);
$user = $stmt->fetch();
关于第三个问题——只要你将数字绑定(bind)为字符串(而不是相反!)——
因为 mysql 会始终将您的数据转换为正确的类型。我知道的唯一情况是 LIMIT 子句,您不能将数字格式化为字符串 - 因此,唯一相关的情况是一个 when PDO is set in emulation mode and you have to pass a parameter in LIMIT clause .在所有其他情况下,您可以省略第三个参数,也可以毫无问题地显式调用 bindValue()。
关于php - 我们应该始终绑定(bind)我们的 SQL 语句吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23511341/
26
4
0
我不知道该怎么做... function f1() { var x = 10; function f2(fx) { var x; x = 6;
早期绑定(bind)和后期绑定(bind)有什么区别? 最佳答案 简短的回答是,早期(或静态)绑定(bind)是指编译时绑定(bind),后期(或动态)绑定(bind)是指运行时绑定(bind)(例如
如何在 SwiftUI View 上使用 Binding(get: { }, set: { }) 自定义绑定(bind)与 @Binding 属性。我已成功使用此自定义绑定(bind)与 @State
我经常发现自己遇到问题,即控件的两个(相关)值被更新,并且两者都会触发昂贵的操作,或者控件可能会暂时处于不一致的状态。 例如,考虑一个数据绑定(bind),其中两个值 (x,y) 相互减去,最终结果用
我想通过我的 ViewModel 控制我的一个窗口的高度和宽度。 这看起来很简单。 但没有。它不起作用。 它检查 ViewModel 的 Width但不是 Height . 奇怪的是,如果我切换 W
UI5中一次性绑定(bind)和单向绑定(bind)有什么区别? 是否有任何用户特定的用例我会使用它们? 我无法从文档中获得太多信息。 最佳答案 单程 它的作用:单向数据流。模型数据的变化(例如通过
(define make (lambda (x) (lambda (y) (cons x (list y))))) (let ((x 7) (p (make 4))) (cons
尽管我或多或少地了解什么是语言绑定(bind),但我很难理解它们是如何工作的。 例如,谁能解释一下如何为 WinAPI 制作 Java 绑定(bind)? 最佳答案 如果您搜索 Foreign Fun
谁能解释为什么我可以重新绑定(bind)列表但不能+? (binding [list vector] (list 1 3)) (binding [list +] (list 1 3)) (bi
我真的很喜欢 Caliburn 和命名约定绑定(bind),我很惊讶 可见性与“CanNAME”约定用于保护 Action 的方式不同。 据我所知, BooleanToVisibilityConver
我了解动态绑定(bind)的实现方式以及静态绑定(bind)和动态绑定(bind)之间的区别,但我只是无法理解动态绑定(bind)的定义。基本上它是一种运行时绑定(bind)类型。 最佳答案 基本上,
http://jsfiddle.net/3NRsd/ var foo = $("div").bind("click", function() { $("div").animate({"hei
这个问题我快疯了...我有一个用户控件,它有一个用于插入操作的 FormView 和一个用于所有其他操作的 GridView。 在这两个控件中,我都有一个 DropDownList,如下所示: '
我有一个绑定(bind)到 ListBox 的地址的 ObservableCollection。然后在 ItemTemplate 中,我使用 {Binding .} 绑定(bind)到当前地址记录。这
如果我有以下简单的 js/knockout 代码: .js( View 模型): var image = ko.observable('http://placehold.it/300x150'); 看
我正在 aurelia 上开发一个自定义属性,让用户在输入文本区域时从列表中进行选择。例如,用法将是这样的: 正如您可能注意到的,auto-complete是属性。现在,当我想显示提示时,我想在自定
我正在使用 EventEmitter2作为我的应用程序内部的消息总线。现在我需要绑定(bind)和取消绑定(bind)一些事件处理程序。因为我也希望他们bind将它们添加到给定的上下文中,我最终得到以
我有以下函数调用: $(".selector").on("click", callback.bind(this, param1, param2)); 在我的回调函数中,我想使用绑定(bind)的 th
我目前正在试验新的编译绑定(bind),并且(再次)达到了我在拼图中遗漏了一个小问题:为什么我必须调用 Bindings.Update?直到现在,我还认为实现 INotifyPropertyChang
我正在阅读一本关于编写 JavaScript 框架的书,并找到了这段代码。但是我不明白它是如何工作的,尤其是 bind.bind 的用法?有人知道吗? var bind = Function.prot
我是一名优秀的程序员,十分优秀!