pdo防注入一问，到底要引号还是不要引号的好?

WBOY

Release： 2016-06-23 13:50:35

Original

1103 people have browsed it

PDO防注入
php版本是 5.4.28
是用MYSQL的

所有sql语句都已经用了预处理

在安全上是否足够?

听说有些人保存是喜欢用 PDO::quote 所字段都加上单引号

请问是否某些旧版PHP才需要?

是否没有做预处理的才需要这样做?

以下是常用的一些代码模式

在防SQL注上，是否已足够?

请教一下有什么地方需要改善的?

		$add_title="INSERT INTO `topic_title` (`id`,`title_name`,`typeid`) VALUES (NULL,:title_name,:typeid)";		$stmt = $pdo->prepare($add_title);		$stmt->bindParam(':title_name',$title_name);		$stmt->bindParam(':typeid',$typeid);		$stmt->execute();

Copy after login

回复讨论(解决方案)

是的，就目前的知识范围而言：足够了

足够了，prepare 已经做了放注入的处理。

安全上已?足?了。

Related labels：

pdo quotation marks injection

source：php.cn

Previous article：php 有没有一种办法，通过外网映射访问获取到内网的ip Next article：微信公众平台添加自定义菜单添加成功后，手机不显示菜单

Statement of this Website

The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn