简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
php - 为啥PDO可以有效防止注入?
天蓬老师
天蓬老师 2017-04-10 16:33:03
0
2
258

一直知道他可以防止注入,今天在网上也看到了一些文章还是没搞明白,即使是他分两次发送的,那攻击着也照样可以在参数上拼接阿
http://blog.olesee.org/2015/10/14/pdo-%E9%98%B2%E6%AD%A2sql%E6%B3%A8%E5%85%A5%E7%9A%84%E5%8E%9F%E7%90%86/

天蓬老师
天蓬老师

欢迎选择我的课程,让我们一起见证您的进步~~

全部回覆(2)
迷茫
迷茫2017-04-10 16:35:03 2樓

这背后是MySQL的预处理实现的,PDO发送给MySQL的并不是“拼接”后的SQL语句

举个例子

PREPARE mystatement FROM "SELECT * FROM topic WHERE id = ? or id = ?";
set @a = 1;
set @b = 2;
EXECUTE mystatement USING @a, @b;
DEALLOCATE PREPARE mystatement;

其实关键的一点就是语句和数据通过这个方式实现了分离,例子中的@a, @b的内容怎么变,SQL的语法解析都不会把它们解析成语句的一部分

文档在此 http://dev.mysql.com/doc/refman/5.7/en/sql-syntax-prepared-statements.html

點贊 +0
新增回覆
Peter_Zhu
Peter_Zhu2017-04-10 16:35:03 1樓

我也在关注这个问题,查到了一些资料:
http://zhangxugg-163-com.iteye.com/blog/1835721

也请关注这个问题:
https://segmentfault.com/q/1010000005994443

點贊 +0
新增回覆
熱門專題
更多>
熱門文章
熱門教學
更多>
相關教學
熱門推薦
最新課程
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板
關於我們 免責聲明 Sitemap
PHP中文網:公益線上PHP培訓,幫助PHP學習者快速成長!