当我使用PDO库时,是否需要在输入中使用mysql_real_escape_string()(例如$_POST和$_GET)?
如何使用PDO正确转义用户输入?
答案 0 :(得分:28)
如果使用PDO,您可以对查询进行参数化,从而无需转义任何包含的变量。
请参阅here,获取有关PDO的精彩入门教程。
使用PDO,您可以使用预处理语句分离SQL并传递参数,这样就不需要转义字符串了,因为两者是分开保存然后在执行时组合在一起,参数会自动处理为stings,来自上面的源:
// where $dbh is your PDO connection
$stmt = $dbh->prepare("SELECT * FROM animals WHERE animal_id = :animal_id AND animal_name = :animal_name");
/*** bind the paramaters ***/
$stmt->bindParam(':animal_id', $animal_id, PDO::PARAM_INT);
$stmt->bindParam(':animal_name', $animal_name, PDO::PARAM_STR, 5);
/*** execute the prepared statement ***/
$stmt->execute();
注意:在变量绑定($stmt->bindParam)
其他资源:
http://net.tutsplus.com/tutorials/php/why-you-should-be-using-phps-pdo-for-database-access/
http://www.phpeveryday.com/articles/PDO-Prepared-Statement-P550.html
答案 1 :(得分:6)
使用PDO时的重点是:
PDO只会针对SQL进行清理,而不是针对您的应用程序。
所以是的,对于写入,例如INSERT或UPDATE,对于仍然首先过滤数据并清除其他内容(删除HTML标记,JavaScript等)尤其重要。
<?php
$pdo = new PDO(...);
$stmt = $pdo->prepare('UPDATE users SET name = :name WHERE id = :id');
$id = filter_input(INPUT_GET, 'id', FILTER_SANITIZE_NUMBER_INT); // <-- filter your data first
$name = filter_input(INPUT_GET, 'name', FILTER_SANITIZE_STRING); // <-- filter your data first
$stmt->bindParam(':id', $id, PDO::PARAM_INT); // <-- Automatically sanitized for SQL by PDO
$stmt->bindParam(':name', $name, PDO::PARAM_STR); // <-- Automatically sanitized for SQL by PDO
$stmt->execute();
如果不对用户输入进行消毒,黑客可能会将一些javascript保存到您的数据库中,然后在将其输出到您的网站时,您将面临威胁!