我可以快速澄清一下这个,只是我正在进行的讨论:
以此为例:
$conn->prepare ( 'SELECT * FROM table WHERE id = "' . $_POST['id'] . '"' );
不是否会阻止SQL注入,您必须在放入prepare语句之前绑定参数或清理值?或者我错了,只使用准备就可以了吗?
答案 0 :(得分:5)
预准备语句使用占位符来插入值。您问题中的代码段已经将值插入到查询中,因此容易进行SQL注入。
以下伪代码突出显示准备好的语句:
$stmt = $conn->prepare('SELECT * FROM `table` WHERE `id` = ?');
$stmt->execute($_POST['id']);
在这个例子中,这个“代码”背后的逻辑将负责正确引用$_POST['id']
中的任何内容并用问号?
代替。您可能还会遇到以下占位符:
$stmt = $conn->prepare('SELECT * FROM `table` WHERE `id` = :id');
$stmt->execute(array(
'id' => $_POST['id']
));
但是,请注意,准备好的语句不会减轻您在将用户提供的输入传递给(我的)SQL语句之前验证用户提供的输入的责任:如果id
预期是整数,则只接受整数作为输入。
答案 1 :(得分:2)
是的,它不会阻止SQL注入,你应该使用
$conn->prepare ( 'SELECT * FROM table WHERE id = ?' );
答案 2 :(得分:0)
是的,你必须绑定参数才能从PDO的sql注入保护中受益。
请记住,PDO并没有添加htmlspecialchars,所以如果这对你很重要,你必须自己做。