tb 프레임워크를 사용하여 개발할 때 SQL 주입을 방지해야 하나요? SQL 주입을 방지하는 방법은 무엇입니까? 하나님께 답을 구하세요
tb 프레임워크를 사용하여 개발할 때 SQL 주입을 방지해야 하나요? SQL 주입을 방지하는 방법은 무엇입니까? 하나님께 답을 구하세요
간단한 방법:
실행할 sql 문에서 문자열을 직접 연결하는 대신 자리 표시자 또는 ? 자리 표시자를 사용하여 PDO를 사용하고 매개 변수를 바인딩하고 매개 변수 유형을 지정합니다. .
간단한 예
<code>$pdo = new PDO("mysql:host=$servername;dbname=myDB", $username, $password);//先新建一个PDO
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);//开启PDO的报错
$sql = 'SELECT * FROM article WHERE id > ? ;';//使用?占位符
try{
$stmt = $pdo->prepare(sql);//返回的statment的值赋给$stmt
$stmt -> bindParam(要绑定的占位符的位置, 要绑定的变量 [, 数据类型]);//bindParam()是$stmt的方法而不是$pdo的方法
$stmt -> execute();//执行sql语句
} catch (PDOException $e) {
echo 'Execute SQL failed: ' . $e->getMessage();
exit();
}</code>
mysqli 또는 pdo를 사용한 매개변수화된 쿼리
프레임워크든 다른 것이든 PDO는 주입과 관련이 없습니다. 많은 사람들은 PDO가 주입을 방지할 수 있다고 오해합니다. 실제로 이들 중 어느 것도 100% 이점을 얻을 수 없습니다. .% 효과, 전역 필터링을 직접 작성하고 SQL 키워드를 필터링하는 것이 더 안전합니다
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
