bindP-6ren">
gpt4 book ai didi

php - 我是否必须使用准备好的 SQL 语句来清理用户输入?

转载 作者:太空宇宙 更新时间:2023-11-03 12:13:26 24 4
gpt4 key购买 nike

这被认为是完全安全的吗?

$stmt = $dbhandler->prepare("update sometable set somefield=:somestring");
$stmt->bindParam(":somestring",$_REQUEST["hack_me_please"],PDO::PARAM_STR);
$stmt->execute();

如果不是,什么可以让它更安全?我假设 PDO/MySQL/PHP 中存在将来可能被利用的未知漏洞,所以我想知道是否有任何合理的事情可以让我的查询更安全,或者它是不是我无法使用准备好的语句。

如果这么简单,为什么 SQL 注入(inject)仍然存在?它不应该像小儿麻痹症一样消失吗?

最佳答案

不,当使用准备好的语句来保护 sql 注入(inject)时,没有必要清理输入,但如果出于任何其他原因需要,您可以这样做。

If it is this easy, why is SQL injection still a thing? Shouldn't it have gone the way of polio?

知者易,知者无易。我相信 sql 注入(inject)现在不会经常发生。

关于php - 我是否必须使用准备好的 SQL 语句来清理用户输入?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23259890/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com