最近的文章列表

分析PHP中如何防止SQL注入及PDO的防治方法

一、问题描述:

  如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句,那么应用将很可能遭受到SQL注入攻击,正如下面的例子:

代码如下:
$unsafe_variable = $_POST['user_input']; 
 
mysql_query("INSERT INTO `table` (`column`) VALUES ('" . $unsafe_variable . "')");
2015/4/20 Comments:
使用PDO杜绝SQL注入的注意事项总结和PDO防注入原理分析

我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答以下两个问题:

为什么要使用PDO而不是mysql_connect?
为何PDO能防注入?
使用PDO防注入的时候应该特别注意什么?
 
一、为何要优先使用PDO?

PHP手册上说得很清楚:
Prepared statements and stored procedures<b

2015/4/19 Comments: