标签: php security sql-injection
我使用普通的PHP代码而不是PHP / MVC框架。
我想知道,纯PHP代码比使用PHP / MVC框架更容易进行SQL注入吗?
答案 0 :(得分:1)
当你知道如何编程时,普通的PHP不容易受到SQL注入攻击。 PHP MVC框架只是普通的PHP,也是像你这样的其他人写的:)。
答案 1 :(得分:-2)
您应该使用mysql_real_escape_string来转义查询中的字符串输入参数。使用类型转换来清理数字参数和白名单以清理标识符。
更好的解决方案是使用预准备语句,您可以使用PDO或mysqli来执行此操作。