标签: php sql pdo sql-injection
可能重复: how safe are PDO prepared statements
PHP PDO准备好的声明无法防范?我一直在读PDO用bind编写的语句完全不受注入式攻击。
这是真的还是程序员(我)必须处理更多的事情(任何类型的攻击,html标签包含等等)?
答案 0 :(得分:1)
使用替换查询参数是安全的,因此SQL运算符的值
但是你应该记住,用它替换表,列或别名是不合适的。在这种情况下,您必须使用白名单