Home > Article > Backend Development > pdo防注入一问,到底要引号还是不要引号的好?
pdo防注入一问,到底要引号还是不要引号的好?
- WBOYOriginal
- 2016-06-23 13:50:351109browse
PDO防注入
php版本是 5.4.28
是用MYSQL的
所有sql语句都已经用了预处理
在安全上是否足够?
听说有些人保存是喜欢用 PDO::quote 所字段都加上单引号
请问是否某些旧版PHP才需要?
是否没有做预处理的才需要这样做?
以下是常用的一些代码模式
在防SQL注上,是否已足够?
请教一下有什么地方需要改善的?
$add_title="INSERT INTO `topic_title` (`id`,`title_name`,`typeid`) VALUES (NULL,:title_name,:typeid)"; $stmt = $pdo->prepare($add_title); $stmt->bindParam(':title_name',$title_name); $stmt->bindParam(':typeid',$typeid); $stmt->execute();
回复讨论(解决方案)
是的,就目前的知识范围而言:足够了
足够了,prepare 已经做了放注入的处理。
安全上已?足?了。
Statement:
The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn
Previous article:php 有没有一种办法,通过外网映射访问获取到内网的ipNext article:微信公众平台添加自定义菜单添加成功后,手机不显示菜单