6
我閱讀了PDO你不需要逃脫的變量,如果你使用準備並通過變量執行:我是否需要逃避數據庫輸入?
$st = $dbh->prepare("INSERT INTO mytable (name,email) VALUES (?,?)");
$st->execute(array($_POST['name'], $_POST['email']));
這是TRU?
還是我仍然需要做_POST $有什麼事?
A
回答
5
編制報表,沒有逃脫是必要的(和逃避的事情自己將導致雙轉義,造成轉義的數據被寫入到數據庫)。
然而,PDO預處理語句不能處理所有查詢變量,有時你必須插入「外國」直接寫入數據到一個查詢字符串,這意味着你將負責正確轉義它。特別是,使用預處理語句無法指定表和/或字段名稱發生更改的動態查詢。例如
SELECT ? FROM ? WHERE ?=?
無法完成。只能用佔位符指定值。
+0
選擇?哪裏?=似乎不起作用。顯然只有價值可以有? ...... – JohnSmith
+0
沒錯。字段和表名稱不能用佔位符指定。 –
2
簡短的回答:不,你不需要逃避什麼。參數化的查詢是完全怪異'真棒! :)
長答案:不,你不需要逃脫任何東西,因爲它進入數據庫。但是,您還是應該使用htmlspecialchars從查詢顯示數據庫輸出時,防止XSS攻擊,否則你會與別人餡像這樣在任意場結束:
<script type="text/javascript">alert('sup, I'm in ur site!');</script>。
+1
顯示數據庫輸出時強調*。一般情況下,您應該不**將HTML存儲在數據庫中,除非您的字段確實是HTML。 – phihag
2
這是真的;代碼是正確的(儘管您可能想要處理未設置$_POST['name']的情況)。
PDO的準備語句的功能移交中,並不需要顯式的轉義格式的值。
+1
需要注意的是PDO實際上並沒有進行任何轉義,它只是完全隔離了查詢語言的數據。 – Polynomial
+0
@Polynomial謝謝,更新。 – phihag
相關問題
- 1. 我需要逃避嗎?
- 2. 需要數據庫輸入幫助
- 3. JVM只要我按逃避
- 4. 插入Cassandra時是否需要轉義數據輸入?
- 5. 是否需要關係數據庫?
- 6. 我是否需要在數據庫數據上使用mysql_real_escape_string來重新插入?
- 7. pdo是否逃避語句?
- 8. 我是否真的需要規範化我的數據庫?
- 9. 設計scala庫時,我們是否需要避免反思?
- 10. 我如何逃避用戶輸入特殊字符 - 我使用的是SQL Server數據庫
- 11. 不想ASP.net逃避數據庫
- 12. Rails的params解析,逃避需要?
- 13. 請檢查我的數據庫模式 - 需要輸入
- 14. c#multithreading - 寫入數據庫時是否需要鎖定?
- 15. 是否需要輸入驗證?
- 16. JSON輸入過濾是否需要
- 17. 是否需要密碼輸入消毒?
- 18. 我是否需要更改默認的數據庫前綴?
- 19. 我是否需要此應用程序的數據庫?
- 20. 我是否需要使用PreferenceActivity或數據庫或其他?
- 21. 我是否需要多個Firebase數據庫引用?
- 22. 我是否需要清理數據庫查詢的結果?
- 23. 我是否需要更改數據庫的排序規則?
- 24. 我是否需要使用c#TableAdapter進行數據庫事務?
- 25. 我是否需要啓用遠程數據庫訪問?
- 26. 我的數據庫表中是否需要外鍵?
- 27. 我是否需要在我的鏈接中輸入type =「value」?
- 28. 如何避免將不需要的值插入數據庫?
- 29. 需要檢查輸入是否是小數或不是
- 30. 我需要在我的數據庫中輸入數據數組,數據從excel文件導入
儘管不需要轉義,一定要檢查輸入值的理智,在可接受的範圍,格式正確的電子郵件等,並返回錯誤信息給你的用戶在適當情況下。 –
是的,我只是對sql攻擊感到好奇 – JohnSmith
只要你嚴格對待你的查詢和你的位置(例如,在任何時候都使用參數,永遠不會*允許用戶提供的數據泄漏連接成動態查詢的連接部分),那麼你將是安全的。 – Polynomial