我正在使用FluentPDO来处理我的数据库查询。 在查看它的代码时,它似乎没有使用任何形式的转义。我理解PDO本身解决了很多安全问题,但它并没有免疫它们。
据我所知,只要我们使用其主页上的预处理语句语法,它就不受SQL注入的影响:
{{1}}
如何转义变量以防止二阶SQL注入?简单地使用addslashes()就足够了吗?这会多余吗? 我该如何处理这个库的安全性?
谢谢!
答案 0 :(得分:0)
关于消毒,read more。
一些不错的报价:
不要试图通过清理输入数据来阻止SQL注入。
相反,不要在创建SQL代码时使用数据。使用使用绑定变量的Prepared Statements(即使用模板查询中的参数)。这是防止SQL注入的唯一方法。
或(了解更多关于validating filters)
PHP现在有了一个新的漂亮的filter_input函数,例如,让你找不到最终的电子邮件正则表达式'现在有一个内置的FILTER_VALIDATE_EMAIL类型