繁体 English 中英

使用PHP PDO转义字符串

[英]Escaping string with PHP PDO

原文 2014-08-07 10:15:06 4 2 php/ pdo

class _display
{
    private function threads($id){
        $this->dbh->prepare("select threads where id = :id");
        $this->dbh->execute(array(':id' => $id));
        $row = $this->dbh->fetch(); 
    }
}


$id = $_GET['id'];

我需要对$ id做什么吗？

2 个解决方案

TL; DR：不，准备语句中的参数不需要转义。

转义SQL查询的整个问题是因为古老的mysql_ *库只是作为字符串传递整个查询，没有指定“这是语法”和“这是数据”的方式 - 这是从语法隐含的，呼叫者有责任传递有效的声明; 这也允许将格式错误/恶意数据视为语法，从而导致SQL注入等。

准备好的语句采用不同的方法：您使用占位符发送查询，并分别传递数据。 因此，不需要转义数据，因为它已经与语法分离。 （当然，准备好的声明不是灵丹妙药，但使用它们可以有效地关闭一类主要的漏洞）

您可以绑定$ id的值

 $get=$this->dbh->prepare("select threads where id = ?");
 $get->bindValue(1,$id,PDO::PARAM_INT);
 $data = $get->execute();
 $data=$get->fetch(PDO::FETCH_ASSOC);

这将减少SQL注入机会，因为我们将id绑定为整数，这是最佳实践。

PDO不转义字符串引号

[英]PDO Not escaping string quotes

PHP - PDO返回转义斜杠，如何删除它？

[英]PHP - PDO return escaping slash, how to remove it?

从MySQL结果（PDO）转义PHP中的引号

[英]Escaping quotes in PHP from MySQL result (PDO)

PHP + MySQL + PDO中的单引号转义

[英]Single quote escaping in PHP + MySQL + PDO

PHP PDO语句与MsSQL转义？

[英]Php pdo statement vs MsSQL escaping?

PHP PDO基础知识！逃避/取消特殊字符

[英]PHP PDO Basics! Escaping/Unescaping Special Characters

PHP PDO撇号和引号转义

[英]PHP PDO Apostrophe and Quotation Marks Escaping

PHP PDO在更新时转义双引号

[英]PHP PDO escaping double quote on update

使用PHP 5.6和PDO是否需要转义字符？

[英]WIth PHP 5.6 and PDO is there any need for escaping characters?

用PHP转义复杂的字符串

[英]Escaping a complicated string with PHP

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 PDO不转义字符串引号 PHP - PDO返回转义斜杠，如何删除它？从MySQL结果（PDO）转义PHP中的引号 PHP + MySQL + PDO中的单引号转义 PHP PDO语句与MsSQL转义？ PHP PDO基础知识！逃避/取消特殊字符 PHP PDO撇号和引号转义 PHP PDO在更新时转义双引号使用PHP 5.6和PDO是否需要转义字符？用PHP转义复杂的字符串

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM