1
carlclone 2018-06-03 19:08:08 +08:00 via Android
prepare 预处理查询语句
|
2
m939594960 2018-06-03 19:34:45 +08:00
只要用参数绑定的话可以。很多框架应该都是这么做的。 当然不排除将来有其他绕过的方法
|
3
hly9469 2018-06-03 19:35:52 +08:00 via iPhone
pdo 只是个数据库连接驱动,跟防注入有啥关系?
|
5
Felldeadbird 2018-06-03 19:43:51 +08:00 via iPhone
mysqli 也可以参数绑定。这个是将提交参数给数据库处理。这样才可以防止注入。
当然,以后出来 bug 一样会有注入。只是现在还没出现 |
6
peizhao2017 OP @Felldeadbird #5
我话没说全 我想问的是 原来用的是 sql 拼接 现在改成了 PDO::prepare 那么在 PDO::prepare 的情况下 还需要对用户的输入内容做各种转义和过滤吗?? 是不是就可以直接入库 |
7
SourceMan 2018-06-03 20:10:53 +08:00 via iPhone
大部分情况可以
|
8
Death 2018-06-03 20:15:14 +08:00 via Android
|
9
hilow 2018-06-03 20:16:31 +08:00
经过 prepare 后的参数,对 mysql 来说,是安全的,可以直接入库
但安全是个大问题,对 mysql 安全的数据,也许在其他地方使用,就会引起注入问题 比如 存入 mysql 中的是 js 代码,那你经过处理直接把这些 文本 用到前端,就可能引起问题 推荐一本书 白帽子讲 web 安全,里面有全面的有关示例 |
10
peizhao2017 OP |
11
peizhao2017 OP @hilow #9
如果不过滤和转义的内容 PDO::prepare 后对 MySQL 是安全的 那么 xss 方面我用白名单 即前端输出的时候只留常规的<p><br><img>等需要的 html 标签 其他的一律过滤不显示或转义后显示 这样是不是就基本可以预防大部分的 sql 注入和 xss 攻击了 |