这样可以防止注入吗?
1
jswh 2020-12-21 11:00:31 +08:00 1
传参呢?要写裸 sql,防注入的基本的方法是不要自己拼接 sql 字符串,用 mysql_escape_string 处理传入的参数,和你具体用什么方法没什么太大关系。
|
2
6jiayoung 2020-12-21 11:01:30 +08:00
// 错误的
Db::query("select * from think_user where id=$id AND status=$statis"); // 正确的 Db::query("select * from think_user where id=? AND status=?", [ $id, $status]); 一定程度上可以,不能保证绝对安全把。 |
4
ben1024 2020-12-21 11:16:54 +08:00 1
不太安全,参数实体转义能规避一些,
直接执行 SQL 一般用来执行一些复杂且固定的 SQL |
5
dyllen 2020-12-21 15:40:10 +08:00
防止注入要用参数绑定的形式去查询。
|