使用PDO API保護SQL注入安全？

Question

可能重複：
Are PDO prepared statements sufficient to prevent SQL injection?

我和推出這一點我一直在努力了幾天一個新的API主要關注的是安全性。

我是PDO用法的初學者，但知道主要結構。但我不知道如何保護來自SQLInjection的查詢。

我的代碼列舉如下：

<?php 
    $Start = new Db(); 
    class Db 
    { 
     private $dbh = null; 

     public function __construct() 
     { 
      $this->dbh = new PDO('mysql:host=localhost;dbname=pdo', 'root', 'xxxxx'); 
     } 

     public function PDOFetch($Var) 
     { 
      $sth = $this->dbh->prepare("$Var"); 
      $sth->execute(); 
      $result = $sth->fetchAll(); 
      return $result; 
     } 

     public function PDONumb ($Var) 
     { 
      $sth = $this->dbh->prepare("$Var"); 
      $sth->execute(); 
      $count = $sth->rowCount(); 
      return $count; 
     } 

     public function PDODel ($Var) 
     { 
      $Delete = $this->dbh->exec("$Var"); 
      return $Delete; 
     } 

     public function PDOQuery ($Var) 
     { 
      $Query = $this->dbh->query("$Var"); 
      return $Query; 
     } 
    } 
?> 

我怎麼會去從SQL注入等漏洞保護？

編輯：

查詢被傳遞到API正在從例如「的index.php」頁面完成。

的線路是：

$Num = $Start->PDONumb("SELECT * FROM news"); 

可是後來，當我已經覆蓋了我的這個軌道。我想用更高級的方式使用它，所以它會傳遞用戶定義的變量（因此SQL注入問題）

但是目前，傳遞的查詢是由管理員定義的。

Answer 1

我們不能在沒有看到傳入的SQL的情況下進行分析。如果您使用不受信任的數據創建不安全的SQL語句，那麼它們是否在PDO中執行並不重要。您仍然可以開放SQL注入。

例如，如果你從網上$userid與您共建：

$sql = "SELECT * FROM users WHERE userid=$userid"; 

該SQL語句是開放的SQL注入，因爲如果$userid值爲0; DROP TABLE users;，那麼SQL您將創建意志是

SELECT * FROM users WHERE userid=0; DROP TABLE users; 

並且不管你是否通過PDO執行它：你仍在執行壞人向你發送的代碼。

要正確使用PDO，您需要bind your parameters。

---

與您的問題無關，但新手經常遇到的一個重要問題是：沒有必要在您的單個變量中加雙引號。您的代碼

$Delete = $this->dbh->exec("$Var"); 

會更好寫成

$Delete = $this->dbh->exec($Var);