有人告诉我,建议使用PDO使我的代码更安全,不受mysql注入。
我目前正在使用我读过的DB_DataObject来清除注入的输入(http://pear.php.net/manual/en/package.database.db-dataobject.php) 我还需要使用PDO还是DB_Dataobject应该没问题? 我也可以将它们组合在一起,如果是的话。
我的DB语句的示例部分
$password=encryptpass($_REQUEST['password']);
$user->query("select username from {$user->__table} where (username = '$username' or email='$username') AND password = '$password' ");
由于
答案 0 :(得分:0)
如果您自己构建查询而不使用正确的函数来转义参数,PDO或DB_Dataobject不会防止sql注入。
要保护您需要:
或