簡體 English 中英

使用PHP PDO轉義字符串

[英]Escaping string with PHP PDO

原文 2014-08-07 10:15:06 9 2 php/ pdo

class _display
{
    private function threads($id){
        $this->dbh->prepare("select threads where id = :id");
        $this->dbh->execute(array(':id' => $id));
        $row = $this->dbh->fetch(); 
    }
}


$id = $_GET['id'];

我需要對$ id做什么嗎？

2 個解決方案

TL; DR：不，准備語句中的參數不需要轉義。

轉義SQL查詢的整個問題是因為古老的mysql_ *庫只是作為字符串傳遞整個查詢，沒有指定“這是語法”和“這是數據”的方式 - 這是從語法隱含的，呼叫者有責任傳遞有效的聲明; 這也允許將格式錯誤/惡意數據視為語法，從而導致SQL注入等。

准備好的語句采用不同的方法：您使用占位符發送查詢，並分別傳遞數據。 因此，不需要轉義數據，因為它已經與語法分離。 （當然，准備好的聲明不是靈丹妙葯，但使用它們可以有效地關閉一類主要的漏洞）

您可以綁定$ id的值

 $get=$this->dbh->prepare("select threads where id = ?");
 $get->bindValue(1,$id,PDO::PARAM_INT);
 $data = $get->execute();
 $data=$get->fetch(PDO::FETCH_ASSOC);

這將減少SQL注入機會，因為我們將id綁定為整數，這是最佳實踐。

PDO不轉義字符串引號

[英]PDO Not escaping string quotes

PHP - PDO返回轉義斜杠，如何刪除它？

[英]PHP - PDO return escaping slash, how to remove it?

從MySQL結果（PDO）轉義PHP中的引號

[英]Escaping quotes in PHP from MySQL result (PDO)

PHP + MySQL + PDO中的單引號轉義

[英]Single quote escaping in PHP + MySQL + PDO

PHP PDO語句與MsSQL轉義？

[英]Php pdo statement vs MsSQL escaping?

PHP PDO基礎知識！逃避/取消特殊字符

[英]PHP PDO Basics! Escaping/Unescaping Special Characters

PHP PDO撇號和引號轉義

[英]PHP PDO Apostrophe and Quotation Marks Escaping

PHP PDO在更新時轉義雙引號

[英]PHP PDO escaping double quote on update

使用PHP 5.6和PDO是否需要轉義字符？

[英]WIth PHP 5.6 and PDO is there any need for escaping characters?

用PHP轉義復雜的字符串

[英]Escaping a complicated string with PHP

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 PDO不轉義字符串引號 PHP - PDO返回轉義斜杠，如何刪除它？從MySQL結果（PDO）轉義PHP中的引號 PHP + MySQL + PDO中的單引號轉義 PHP PDO語句與MsSQL轉義？ PHP PDO基礎知識！逃避/取消特殊字符 PHP PDO撇號和引號轉義 PHP PDO在更新時轉義雙引號使用PHP 5.6和PDO是否需要轉義字符？用PHP轉義復雜的字符串

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM