个人中心
gpt4 book ai didi

php - 应该使用哪种 PDO 绑定(bind)方法来提高安全性?

转载 作者:行者123 更新时间:2023-11-29 01:28:27 26 4
gpt4 key购买 nike

我知道有两种方法可以在 PHP 中使用 PDO 来更新 MySQL 数据库记录。请有人解释我应该使用哪个来提高安全性以及区别,我有点困惑。

方法一:

$user = "root";
$pass = "";
$dbh = new PDO('mysql:host=somehost;dbname=somedb', $user, $pass);
$sql = "UPDATE coupons SET 
coupon_code = :coupon_code, 
valid_from = :valid_from, 
valid_to = :valid_to,  
discount_percentage = :discount_percentage,  
discount_amount = :discount_amount,  
calculationType = :calculationType,  
limit = :limit  
WHERE coupon_code = :coupon";
$stmt = $dbh->prepare($sql);                                  
$stmt->bindParam(':coupon_code', $_POST['coupon_code'], PDO::PARAM_STR);       
$stmt->bindParam(':valid_from', $_POST['$valid_from'], PDO::PARAM_STR);    
$stmt->bindParam(':valid_to', $_POST['valid_to'], PDO::PARAM_STR);
$stmt->bindParam(':discount_percentage', $_POST['discount_percentage'], PDO::PARAM_STR); 
$stmt->bindParam(':discount_amount', $_POST['discount_amount'], PDO::PARAM_STR);   
$stmt->bindParam(':calculationType', $_POST['calculationType'], PDO::PARAM_STR);   
$stmt->bindParam(':limit', $_POST['limit'], PDO::PARAM_STR);   
$stmt->bindParam(':coupon', $_POST['coupon_code'], PDO::PARAM_STR);   
$stmt->execute();

方法二:

$dbtype="somedbtype";
$dbhost="somehost";
$dbname="somedb";
$dbuser="someuser";
$dbpass= "somepass";
$conn = new PDO("mysql:host=$dbhost;dbname=$dbname",$dbuser,$dbpass);
$title = 'PHP Pattern';
$author = 'Imanda';
$id = 3;
$sql = "UPDATE books 
SET title=?, author=?
WHERE id=?";
$q = $conn->prepare($sql);
$q->execute(array($title,$author,$id));

据我所知,方法二不绑定(bind)数据,而是将其作为数组类型直接插入到查询中。这是否会使脚本更容易受到 SQL 注入(inject)或其他安全风险的影响?

最佳答案

两者之间的唯一区别是,如果您将数组传递给 execute 函数而不是自己调用 bindParam,它会将所有参数视为 PDO::PARAM_STR 自动调用,而在您自己调用 bindParam 时,您可以将它们绑定(bind)为整数等。

来自docs :

input_parameters

An array of values with as many elements as there are bound parameters in the SQL statement being executed. All values are treated as PDO::PARAM_STR.

您还可以从那里的示例中看到,在将数组传递给 execute 函数时,您可以使用命名参数(例如 :limit)。您不必只输入 ?。在这种情况下,你给数组一个键:

$sth->execute(array(':calories' => $calories, ':colour' => $colour));

关于php - 应该使用哪种 PDO 绑定(bind)方法来提高安全性?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28078021/

26 4 0
文章推荐: ios - 改变tableHeaderView框架,tableview的contentSize每次增加0.5
文章推荐: android - savedInstanceState 没有被恢复
文章推荐: ios - 用户界面的内存管理
文章推荐: mysql - 选择给出具有两个或两个以上非零值的行的查询
行者123
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com