<分区>
Possible Duplicate:
How to prevent SQL injection in PHP?
我使用 PDO 准备语句来防止 MySQL 注入(inject),但我是否应该做更多的事情来清理用户输入?将仅向用户显示他自己的输入和他“ friend ”的其他人的输入。我还需要做些什么来清理输入吗?
我不认为魔术引号已启用,而且我想不出任何其他方式可以让用户弄乱我的网站,但我是新手,所以我不确定。
提前致谢!
标签 php mysql pdo sanitization
<分区>
Possible Duplicate:
How to prevent SQL injection in PHP?
我使用 PDO 准备语句来防止 MySQL 注入(inject),但我是否应该做更多的事情来清理用户输入?将仅向用户显示他自己的输入和他“ friend ”的其他人的输入。我还需要做些什么来清理输入吗?
我不认为魔术引号已启用,而且我想不出任何其他方式可以让用户弄乱我的网站,但我是新手,所以我不确定。
提前致谢!
最佳答案
如果您使用准备好的语句,则 you shouldn't have any issue with MySQL injection .
If an application exclusively uses prepared statements, the developer can be sure that no SQL injection will occur (however, if other portions of the query are being built up with unescaped input, SQL injection is still possible).
您可能会考虑 sanitizing your output ,但是,就像只显示某些 HTML 标记(如果有的话)一样,以避免有人弄乱网站布局或更糟糕的是执行任意 JavaScript 的问题。
关于PHP 使用 PDO 语句清理输入,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14665651/