我正在考虑使用名为Zebra_Database的MySQL包装器:
http://stefangabos.ro/php-libraries/zebra-database/
有人可以告诉代码这是否可以防止SQL注入,还是我应该采取进一步措施来保护自己?
谢谢!
答案 0 :(得分:2)
它鼓励使用预备语句 - 与mysqli使用的相同限制版本 - 因此,它不提供100%保护。
它使用某种查询构建器 - 因此,它使您的SQL太不灵活(因此 - 再次 - 不安全)。
就我个人而言,我不会使用它,但对于初学者而言,它总是比“用mysqli_real_escape_string包装每个输入”更好。
答案 1 :(得分:1)
它鼓励使用不易受SQL注入影响的预准备语句。
从Zebra_Database的首页:
它鼓励开发人员编写可维护的代码,并通过鼓励使用准备好的语句来提供更好的默认安全层,其中参数会自动转义。
这意味着您应该使用预先准备好的语句,这些语句不容易受到SQL注入的影响。有关预准备陈述的用法,请参阅this question。