我一直在研究 PHP 扩展的 PDO 风格,以安全的方式进行 MySQL 查询。我想知道我是否已经正确地做到了这一点,我可以相信它对 MySQL 注入(inject)等是安全的?任何确认或更正将不胜感激!
<?php
$nametosearch=$_POST['nametosearch'];// Is "Billy"
$db = new PDO('mysql:host='.HOST.'; dbname='.DBNAME, DBUSER, DBPASSWORD);//the all caps are PHP constants.
$query = "SELECT * FROM ".DBNAME.".sometable WHERE username=".$db->quote($nametosearch)." ORDER BY lastname ASC;";
$result = $db->query($query);
while($row = $result->fetch(PDO::FETCH_ASSOC)) {
//Do some stuff with results
}
$result->closeCursor();
$db = null;
?>
最佳答案
这种构建查询的方式不好,为了安全起见,您应该使用准备好的语句:
<?php
$nametosearch=$_POST['nametosearch'];// Is "Billy"
$db = new PDO('mysql:host='.HOST.'; dbname='.DBNAME, DBUSER, DBPASSWORD);//the all caps are PHP constants.
$statement = $db->prepare("SELECT * FROM ".DBNAME.".sometable WHERE username=":username" ORDER BY lastname ASC;");
$statement->execute(array(':username', $nametosearch));
//....
?>
这是使用 PDO 进行数据库查询的安全方式。
关于php - PDO 和 MySQL 的这种实现是否安全以防止 SQL 注入(inject)?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33308311/