1

可能重复:
如何防止 PHP 中的 SQL 注入?

我使用 PDO 准备好的语句来防止 MySQL 注入,但我应该做更多的事情来清理用户输入吗?用户只会看到他自己的输入和他“朋友”的其他人的输入。我还需要做些什么来清理输入吗?

我认为没有启用魔术引号,而且我想不出任何其他方式可以让用户弄乱我的网站,但我是新手,所以我不确定。

提前致谢!

4

1 回答 1

0

如果您使用的是准备好的语句,那么MySQL injection 应该没有任何问题

如果应用程序专门使用预准备语句,开发人员可以确定不会发生 SQL 注入(但是,如果查询的其他部分是使用非转义输入构建的,则 SQL 注入仍然是可能的)。

但是,您可能会考虑清理您的输出,例如只显示某些 HTML 标记(如果有的话),以避免有人弄乱网站的布局或更糟的是,执行任意 JavaScript 的问题。

于 2013-02-02T19:41:40.410 回答