以此为例:
$conn->prepare ( 'SELECT * FROM table WHERE id = "' . $_POST['id'] . '"' );
不阻止sql注入,您必须在放入prepare语句之前绑定参数或清理值吗?或者我错了,只使用准备就可以了?
解决方法:
准备好的语句使用占位符来插入值.您的问题中的代码段已经将值插入到查询中,因此容易进行sql注入.
$stmt = $conn->prepare('SELECT * FROM `table` WHERE `id` = ?');
$stmt->execute($_POST['id']);
在这个例子中,这个“代码”背后的逻辑将负责正确引用$_POST [‘id’]中的任何内容并替换问号?接着就,随即.您可能还会遇到以下占位符:
$stmt = $conn->prepare('SELECT * FROM `table` WHERE `id` = :id');
$stmt->execute(array(
'id' => $_POST['id']
));
但请注意,准备好的语句不会减轻您在将其传递给(My)sql语句之前验证用户提供的输入的责任:如果id应该是一个整数,则只接受整数作为输入.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。