在2012年防止SQL注入

时间:2012-05-16 10:40:05

标签: php mysql pdo sql-injection

我对这个问题有了很好的解读mysqli or PDO - what are the pros and cons?。但我认为这有点过时了。准备好的陈述仍然是针对注射的最佳解决方案吗?

我要创建一个新的php界面来访问我的mysql数据库,所以我想从一开始就搞定它。

pdo也不会减慢你的查询速度吗?

1 个答案:

答案 0 :(得分:7)

使用预准备语句/参数化查询。这是完全安全的,因为您不会将SQL与同一字符串中的数据混合,您不必再考虑转义。至少如果你没有开始以一种用户可以修改它们的方式使你的列/表名称动态化。

使用PDO我们所获得的优势绝对值得最小的性能损失。