为啥PDO可以有效防止注入?

WBOY
Libérer: 2016-06-06 20:21:41
original
1185 Les gens l'ont consulté

一直知道他可以防止注入,今天在网上也看到了一些文章还是没搞明白,即使是他分两次发送的,那攻击着也照样可以在参数上拼接阿
http://blog.olesee.org/2015/10/14/pdo-%E9%98%B2%E6%AD%A2sql%E6%B3%A8%E5%85%A5%E7%9A%84%E5%8E%9F%E7%90%86/

回复内容:

一直知道他可以防止注入,今天在网上也看到了一些文章还是没搞明白,即使是他分两次发送的,那攻击着也照样可以在参数上拼接阿
http://blog.olesee.org/2015/10/14/pdo-%E9%98%B2%E6%AD%A2sql%E6%B3%A8%E5%85%A5%E7%9A%84%E5%8E%9F%E7%90%86/

这背后是MySQL的预处理实现的,PDO发送给MySQL的并不是“拼接”后的SQL语句

举个例子

<code class="mysql">PREPARE mystatement FROM "SELECT * FROM topic WHERE id = ? or id = ?";
set @a = 1;
set @b = 2;
EXECUTE mystatement USING @a, @b;
DEALLOCATE PREPARE mystatement;</code>
Copier après la connexion

其实关键的一点就是语句和数据通过这个方式实现了分离,例子中的@a, @b的内容怎么变,SQL的语法解析都不会把它们解析成语句的一部分

文档在此 http://dev.mysql.com/doc/refman/5.7/en/sql-syntax-prepared-statements.html

Étiquettes associées:
source:php.cn
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal
À propos de nous Clause de non-responsabilité Sitemap
Site Web PHP chinois:Formation PHP en ligne sur le bien-être public,Aidez les apprenants PHP à grandir rapidement!