Home  >  Article  >  Backend Development  >  为啥PDO可以有效防止注入?

为啥PDO可以有效防止注入?

WBOY
WBOYOriginal
2016-06-06 20:21:411185browse

一直知道他可以防止注入,今天在网上也看到了一些文章还是没搞明白,即使是他分两次发送的,那攻击着也照样可以在参数上拼接阿
http://blog.olesee.org/2015/10/14/pdo-%E9%98%B2%E6%AD%A2sql%E6%B3%A8%E5%85%A5%E7%9A%84%E5%8E%9F%E7%90%86/

回复内容:

一直知道他可以防止注入,今天在网上也看到了一些文章还是没搞明白,即使是他分两次发送的,那攻击着也照样可以在参数上拼接阿
http://blog.olesee.org/2015/10/14/pdo-%E9%98%B2%E6%AD%A2sql%E6%B3%A8%E5%85%A5%E7%9A%84%E5%8E%9F%E7%90%86/

这背后是MySQL的预处理实现的,PDO发送给MySQL的并不是“拼接”后的SQL语句

举个例子

<code class="mysql">PREPARE mystatement FROM "SELECT * FROM topic WHERE id = ? or id = ?";
set @a = 1;
set @b = 2;
EXECUTE mystatement USING @a, @b;
DEALLOCATE PREPARE mystatement;</code>

其实关键的一点就是语句和数据通过这个方式实现了分离,例子中的@a, @b的内容怎么变,SQL的语法解析都不会把它们解析成语句的一部分

文档在此 http://dev.mysql.com/doc/refman/5.7/en/sql-syntax-prepared-statements.html

Statement:
The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn