那些遇到过的问题

PDO和转义输入:这是最安全的方式吗?

use*_*601 0 php mysql pdo sql-injection

我想在上线之前检查自己.我在互联网上阅读了很多不同的东西,但我想知道这是否绝对保护我的SQL注入代码.如果没有,我需要添加或带走什么?

$idtoapprove = mysql_real_escape_string($_POST['idtoapprove']);

$getcity = $conn->prepare('SELECT city, state FROM needs WHERE ID=:idtoapprove');
$getcity->bindParam(':idtoapprove', $idtoapprove);
$getcity->execute();

$cityrow = $getcity->fetch();
$needcity = $cityrow['city'];
$needstate = $cityrow['state'];

echo "$needcity, $needstate";
Run Code Online (Sandbox Code Playgroud)

Pek*_*ica 5

不需要在mysql_real_escape_string这里,实际上,它是完全错误的(它来自不同的,已弃用的数据库库)并且可能会损坏您的数据.(而且,无论如何它在这里都是无效的 - mysql_real_escape_string()对于转义字符串,它对于整数来说是没用的.)

PDO准备好的声明就足够了.

  • 只是为了进一步解释,如果没有活动的数据库连接,`mysql_real_escape_string`将无法正常工作,通过`ext/mysql` API,OP不太可能.使用它也会两次逃避数据. (2认同)

归档时间:

查看次数:

53 次

最近记录:

12 年,5 月 前
相关归档
Docker无法链接到非运行容器 55
检查特定输入文件是否为空 31
我们可以在PHP的任何函数中传递数组作为参数吗? 30
在PHP中的函数内部从外部获取变量 29
如何获取Symfony2中的所有帖子参数? 28
如何使用PHP代码而不是HTML代码导入/包含CSS文件? 27
htmlentities返回空字符串 21
如何配置Spring启动以使用两个数据库? 12
REPLACE()可以使重音不敏感(é= e)吗? 11
选择MAX(ID)mysql 10
难疑归档
如何将命令行参数传递给Node.js程序? 2280
数据绑定如何在AngularJS中运行? 1924
如何恢复Git中丢失的存储? 1617
如何从Python字典中删除密钥? 1539
如何通过curl调用使用HTTP请求发送标头? 1328
虚拟成员在构造函数中调用 1270
如何在Bash中将字符串转换为小写? 1158
如何将参数传递给批处理文件? 1100
将标签重新定义为4个空格 1041
有哪些常用的命名git分支实例的例子? 1034