由于我使用PDO来防止SQL注入,我是否还需要应用PHP的数据过滤器以确保输入格式正确? PDO是否可以保护所有类型的注射?
$STH = $DBH->prepare("SELECT * from jem WHERE email=? AND pass=? LIMIT 0,1");
登录脚本的任何提示都会有所帮助。
答案 0 :(得分:1)
在使用PDO之前,我猜您正在验证您的数据(例如使用验证过滤器),然后在将其插入数据库之前将其转义。现在,你只需要(但仍然需要)做第一件事。
关于第二个问题,PDO会保护您免受SQL注入。你仍然必须在输出之前转义html,以防止js代码注入