0
到現在爲止,我hapily住在一起的逃逸功能和客戶端只使用SQL命令的服務器通信的範例:準備好的語句如何在SQL級別上工作?
select * from table where name = 'O\'Hara';
在PDO,在這裏你只需要創建一些模板,並用不同的餵養它的情況下數據,這種範例很可能被打破。否則,PDO必須自己調用轉義函數,並且實際上沒有理由使用它(與自己轉義它沒有任何區別)。
因此,如果客戶端和服務器之間的SQL通信範例被破壞,它是如何工作的?查詢是否不再作爲SQL命令發送?它是MySQL協議的一些擴展嗎? MySQL協議遠比SQL對話更豐富嗎?一般來說它是否工作,例如使用遠程服務器?與純粹的SQL命令相比,此功能是否有任何限制?
我試過通過mysql文檔,但沒有發現任何相關的。
http://stackoverflow.com/questions/8263371/how-prepared-statements-can-protect-from-sql-injection-attacks/8265319#8265319 –
@YourCommonSense所以呢?你能否引用該答案中的任何特定段落? – TMS
相當多。但從語調來看,我懷疑這是否值得這麼麻煩。 –