首頁猿問 php...

php PDO中exec函數(shù)怎么防止sql注入，需要提前prepare嗎？感激不盡

JavaScript

慕碼人8056858 2019-09-19 12:14:23

phpPDO中exec函數(shù)怎么防止sql注入，需要提前prepare嗎？我看到$pdo防sql注入是先prepare再excute，比如查詢操作和插入操作，數(shù)據(jù)都是前臺提交過來的$sql="selectpid,id,time,name,pl,znum,cnumfromtestwhereaid=?andstatus=1orderbyiddesc";$pdo->prepare($sql);$pdo->execute(array($_POST['aid']));.....這種沒問題，但是這種$sql="insertintotest(aid,pid,time,name,pl,ip)values({$res['aid']},{$res['pid']},".time().",'".$res['nc']."','".$res['nr']."','{$ip}')";$pdo->exec($sql);如果如上執(zhí)行，怎么防止SQL注入，在沒個POST參數(shù)上面加quote()嗎？exec可以先prepare嗎？

查看完整描述

2 回答

HUH函數(shù)

TA貢獻1836條經(jīng)驗獲得超4個贊

首先你的代碼有問題，正確的應(yīng)該是：$sql="....";$sth=$pdo->prepare($sql);$sth->execute();根據(jù)文檔，PDO::exec的參數(shù)有這樣的描述：查詢中的數(shù)據(jù)應(yīng)該被妥善地轉(zhuǎn)義，說明需要用戶自己去進行參數(shù)的轉(zhuǎn)義。PDO防注入是將SQL語句區(qū)分成模版和參數(shù)兩部分，參數(shù)會被預(yù)處理/轉(zhuǎn)義，然后填充到模版生成最終的SQL語句，參數(shù)的轉(zhuǎn)義可以由PDO處理（使用PDOStatement）；也可以由用戶程序處理，那就是你先對post的數(shù)據(jù)做預(yù)處理后，再直接執(zhí)行。

反對回復(fù) 2019-09-19