[英]Does Zend_DB / Doctrine protect me from SQL injection?
在Zend_DB或Doctrine中使用准备好的语句是否可以保护我免受SQL注入的侵害?
例:
$stmt = $db->prepare('SELECT * FROM users WHERE name = ? AND password = ?');
$rs = $stmt->execute('peter', 'secret');
还是我必须自己检查字符串和类型类型?
另一个快捷方式:两者中哪一个最好? 我只需要数据库抽象(带有语句,过程和事务)。
是。
准备好的语句,无论是用Zend_Db,Doctrine还是普通的mysqli完成,都可以通过将查询结构与数据分开来防止注入。 这意味着,如果您准备了一条根据用户名和密码选择用户的语句,那么黑客将无法提供将该语句转换为其他语句的数据。
只要确保查询本身是一个字符串常量即可。
至于第二个问题,Doctrine和Zend_Db具有不同的方法,可以适应不同的情况和不同的审美偏好。 这里已经有关于该主题的几个问题。
zend框架zend_db:它提供了什么来转义sql参数
[英]zend framework zend_db: what does it provide to escape sql parameters
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.