ThinkPHP 里直接 DB::query($sql)直接调用 sql 语句, 安全吗?
RickyC · 2020-12-21 10:50:33 +08:00 · 2223 次点击这是一个创建于 1418 天前的主题,其中的信息可能已经有所发展或是发生改变。
这样可以防止注入吗?
 |
1
jswh 2020-12-21 11:00:31 +08:00  1
传参呢?要写裸 sql,防注入的基本的方法是不要自己拼接 sql 字符串,用 mysql_escape_string 处理传入的参数,和你具体用什么方法没什么太大关系。
|
 |
2
6jiayoung 2020-12-21 11:01:30 +08:00
// 错误的
Db::query("select * from think_user where id=$id AND status=$statis"); // 正确的 Db::query("select * from think_user where id=? AND status=?", [ $id, $status]); 一定程度上可以,不能保证绝对安全把。 |
 |
4
ben1024 2020-12-21 11:16:54 +08:00 1
不太安全,参数实体转义能规避一些,
直接执行 SQL 一般用来执行一些复杂且固定的 SQL |
 |
5
dyllen 2020-12-21 15:40:10 +08:00
防止注入要用参数绑定的形式去查询。
|
Select Language