3回答

尚方宝剑之说

严格来说，实际上不需要转义，因为参数值永远不会插值到查询字符串中。查询参数的工作方式是在调用时将查询发送到数据库服务器prepare()，然后在调用时将参数值发送到数据库服务器execute()。因此，它们与查询的文本形式分开存放。SQL注入永远不会有机会（提供的PDO::ATTR_EMULATE_PREPARES是错误的）。因此，可以，查询参数可以帮助您避免这种形式的安全漏洞。他们是否100％证明没有任何安全漏洞？不，当然不是。您可能知道，查询参数仅在SQL表达式中代替单个文字值。您不能用单个参数替代值列表，例如：SELECT * FROM blog WHERE userid IN ( ? );您不能使用参数使表名或列名动态化：SELECT * FROM blog ORDER BY ?;您不能将参数用于任何其他类型的SQL语法：SELECT EXTRACT( ? FROM datetime_column) AS variable_datetime_element FROM blog;因此，在很多情况下，您必须在prepare()调用之前将查询作为字符串处理。在这些情况下，您仍然需要仔细编写代码以避免SQL注入。

0 0

0

慕沐林林

从SQL注入是安全的。几件事情不安全：拒绝服务（导致创建过多的行）跨站点脚本攻击（如果标题回显给另一个用户）安全不仅仅是阻止SQL注入。

0 0

0

精慕HU

关于SQL注入，我相信这是最安全的方法，尤其是在使用PDO :: PARAM_INT等常量的情况下。

0 0

0