Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我第一次使用 PDO,我想知道下面的内容是否安全,我试图阅读 mysql_real_escape 的替代方法,似乎“准备”方法足够安全,有人可以为我澄清一下吗?仍然显得脆弱...
$UID = $_GET['id']; $sth = $conn->prepare("SELECT * FROM directory WHERE user_active != '' AND ID = :uid"); $sth->execute(array(':uid' => $UID));
prepare 方法不仅足够,而且比mysql_real_escape().
mysql_real_escape()
您的代码有效,因为$UID将使用与 SQL 语句的其余部分不同的协议进行传输。由于数据库对它的处理方式不同,因此无需转义。
$UID