有没有办法配置mysql或php,以便在查询中,数据值会自动转义?我已经阅读过关于PDO的内容,例如,Zend Framework有一些自动执行的数据库适配器 - 但是在服务器端,没有任何配置可以避免必须在码?
谢谢,
大卫
答案 0 :(得分:1)
是否有任何配置可以避免在代码中处理它?</ p>
不是,不。这是tried - 结果是一个可怕的混乱现在每个人都讨厌。
没有“神奇的功能”可以使查询安全 - 传递给查询的每个参数都需要进行不同的清理(如字符串与整数)。有些东西(比如动态表和列名)根本无法清理(甚至不使用数据库库的字符串转义方法),因此您需要将它们与现有表和列的列表进行比较。
使用PDO准备好的语句(或Zend Framework数据库函数,其中AFAIK包装PDO等)是您可以尽可能少地完成的。