PDO准备好的陈述有多安全
不久前开始使用PDO准备的语句,据我了解,它为您完成了所有转义/安全性工作。
例如,假设$ _POST [‘title’]是一个表单字段。
$title = $_POST['title'];
$query = "insert into blog(userID, title) values (?, ?)"
$st = $sql->prepare($query);
$st->bindParam(1, $_SESSION['user']['userID'], PDO::PARAM_INT);
$st->bindParam(2, $title);
$st->execute();
这真的安全吗?我还需要做其他事情吗?我还需要考虑什么?
谢谢。
问题答案:
严格来说,实际上不需要转义,因为参数值永远不会插值到查询字符串中。
查询参数的工作方式是在调用时将查询发送到数据库服务器prepare(),然后在调用时将参数值发送到数据库服务器execute()。因此,它们与查询的文本形式分开存放。SQL注入永远不会有机会(提供的PDO::ATTR_EMULATE_PREPARES是错误的)。
因此,可以,查询参数可以帮助您避免这种形式的安全漏洞。
他们是否100%证明没有任何安全漏洞?不,当然不。您可能知道,查询参数仅在SQL表达式中代替单个文字值。您不能用单个参数替代值列表,例如:
SELECT * FROM blog WHERE userid IN ( ? );
您不能使用参数使表名或列名动态化:
SELECT * FROM blog ORDER BY ?;
您不能将参数用于任何其他类型的SQL语法:
SELECT EXTRACT( ? FROM datetime_column) AS variable_datetime_element FROM blog;
因此,在很多情况下,您必须在prepare()调用之前将查询作为字符串处理。在这些情况下,您仍然需要仔细编写代码以避免SQL注入。
-
我在这个问题上经历了一段非常艰难的时光,有人建议我学习如何尝试捕捉块,以便更容易地找出错误所在。这是我第一次尝试。 我的@stmt2没有为我的行定义,这是一个错误。 这是我尝试接球的尝试。我有没有做错什么,导致这个错误出现?
-
最近,我们对一些Cassandra集群进行了压力测试,比较了一致性级别、准备好的/未准备好的语句和同步/异步执行模式的所有组合的性能,在每种配置中,最高的性能总是异步运行的(任何/一个)未准备好的语句的组合!! 对于有意义的位,任何/一个一致性级别的限制都较少,因此应该是最快的。此外,异步运行查询,因此利用并行计算应该比按顺序运行它们更快,但是准备好的语句和非准备好的语句呢? 我们总是读到和听到(
-
我正在用spring Boot做一个项目。:图书馆管理系统。为了得到要计算的罚款,我已经更改了系统日期。但是,在此之后,当我重新运行应用程序时,在控制台中会出现以下错误 配置为侦听端口8080的Tomcat连接器无法启动。端口可能已在使用中,或者连接器配置错误。 验证连接器的配置,识别并停止正在侦听端口8080的任何进程,或者将此应用程序配置为侦听另一个端口。
-
问题内容: 我目前在MySQL上使用这种类型的SQL在单个查询中插入多行值: 关于PDO的阅读,使用准备好的语句应该比静态查询为我提供更好的安全性。 因此,我想知道是否可以使用准备好的语句生成“通过使用一个查询插入多行值”。 如果是,请问我该如何实施? 问题答案: 使用PDO预准备语句插入多值 在一个execute语句中插入多个值。为什么这样,因为根据此页面,它比常规插入更快。 更多的数据值,或者
-
我想知道是否可以使用一个准备好的语句插入多行。下面是我通常如何在DB中插入一行的示例: 我要插入的值将来自一个数组,例如:$values[0]['val1'];$values[0]["val2“];$values[0]['val3'];$values[1]['val1'];$values[2]['val2']; 等等。 这段代码可能需要一次插入几百行,我想过创建一个循环来创建数百个参数,然后为每一
-
问题内容: 今天有人告诉我,我确实应该在应用程序中使用PDO和准备好的语句。在我了解好处的同时,我也在努力了解如何将其实现到我的工作流程中。除了它使代码更简洁外,我是否应该有一个特定的数据库类来容纳所有准备好的语句,还是应该在每次运行查询时都创建一个?我发现很难理解何时应使用标准PDO查询以及何时应使用准备好的语句。任何示例,技巧或教程链接将不胜感激。 问题答案: pdo :: prepare()