首页 > 后端开发 > php教程 > 为啥PDO可以有效防止注入?

为啥PDO可以有效防止注入?

WBOY
发布: 2016-06-06 20:21:41
原创
1219 人浏览过

一直知道他可以防止注入,今天在网上也看到了一些文章还是没搞明白,即使是他分两次发送的,那攻击着也照样可以在参数上拼接阿
http://blog.olesee.org/2015/10/14/pdo-%E9%98%B2%E6%AD%A2sql%E6%B3%A8%E5%85%A5%E7%9A%84%E5%8E%9F%E7%90%86/

回复内容:

一直知道他可以防止注入,今天在网上也看到了一些文章还是没搞明白,即使是他分两次发送的,那攻击着也照样可以在参数上拼接阿
http://blog.olesee.org/2015/10/14/pdo-%E9%98%B2%E6%AD%A2sql%E6%B3%A8%E5%85%A5%E7%9A%84%E5%8E%9F%E7%90%86/

这背后是MySQL的预处理实现的,PDO发送给MySQL的并不是“拼接”后的SQL语句

举个例子

<code class="mysql">PREPARE mystatement FROM "SELECT * FROM topic WHERE id = ? or id = ?";
set @a = 1;
set @b = 2;
EXECUTE mystatement USING @a, @b;
DEALLOCATE PREPARE mystatement;</code>
登录后复制

其实关键的一点就是语句和数据通过这个方式实现了分离,例子中的@a, @b的内容怎么变,SQL的语法解析都不会把它们解析成语句的一部分

文档在此 http://dev.mysql.com/doc/refman/5.7/en/sql-syntax-prepared-statements.html

相关标签:
来源:php.cn
本站声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
热门教程
更多>
最新下载
更多>
网站特效
网站源码
网站素材
前端模板