我一直在研究 PDO 的 bindValue()
。我知道使用 PDO 准备 SQL 语句可以防止 SQL 注入(inject)。
代码示例:
$stmt = $dbh->prepare('SELECT * FROM articles WHERE id = :id AND title = :title');
$stmt->bindValue(':id', PDO::PARAM_INT);
$stmt->bindValue(':title', PDO::PARAM_STR);
$stmt->execute();
通过将 ID 绑定(bind)为一个数字,而标题是一个字符串,我们可以限制当有人试图在代码中进行 SQL 注入(inject)时造成的损害。
我们是否应该始终将我们的值与 PDO::PARAM_
绑定(bind),以便我们可以限制在 SQL 注入(inject)中可以从数据库中提取的内容?在执行我们的 bindValue()
时,这会增加 PDO 的安全性吗?
最佳答案
有两个问题合二为一。重要的是不要混淆它们
- 我们是否应该始终使用占位符来表示查询中的变量数据?
- 我们是否应该始终在应用程序代码中使用某些功能来遵循上述规则?
此外,根据 comments under the opening post 中的说明,可以看出第三题: - 我们应该始终使用第三个参数,还是让 PDO 默认将所有参数绑定(bind)为字符串就可以了?
1。对于第一个问题,答案是绝对肯定的 - YES。
而对于第二个,为了代码的完整性和 DRYness -
2。尽可能避免手动绑定(bind)。
有很多方法可以避免手动绑定(bind)。其中一些是:
ORM 是简单 CRUD 操作的绝佳解决方案,现代应用程序中必须具备。它将完全向您隐藏 SQL,在幕后进行绑定(bind):
$user = User::model()->findByPk($id);
Query Builder 也是可行的方法,它在一些 PHP 运算符中伪装 SQL 但再次隐藏了幕后的绑定(bind):
$user = $db->select('*')->from('users')->where('id = ?', $id)->fetch();
一些抽象库可能会通过type-hinted-placeholders 处理传递的数据,再次隐藏实际的绑定(bind):
$user = $db->getRow("SELECT * FROM users WHERE id =?i", $id);
如果您仍在以上个世纪的方式使用 PHP,并且在代码中使用原始 PDO - 那么您可以在 execute() 中传递变量,仍然可以节省大量输入:
$stmt = $dbh->prepare('SELECT * FROM users WHERE id = ?'); $stmt->execute([$id]); $user = $stmt->fetch();
关于第三个问题——只要你将数字绑定(bind)为字符串(而不是相反!)——
3。用mysql就可以了,几乎每个参数都以字符串形式发送
因为 mysql 会始终将您的数据转换为正确的类型。我知道的唯一情况是 LIMIT 子句,您不能将数字格式化为字符串 - 因此,唯一相关的情况是一个 when PDO is set in emulation mode and you have to pass a parameter in LIMIT clause .在所有其他情况下,您可以省略第三个参数,也可以毫无问题地显式调用 bindValue()
。
关于php - 我们应该始终绑定(bind)我们的 SQL 语句吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23511341/