雖然PDO 文件顯示準備語句消除了手動參數引用的需要,但答案是微妙的「是」」。PDO 預設模擬MySQL 的準備語句,這種模擬有時會產生可利用的漏洞。
當連接編碼涉及特定的易受攻擊的字元集(例如gbk)時,就會出現潛在的漏洞, cp932) 且符合下列條件:
啟用 NO_BACKSLASH_ESCAPES SQL 模式:這會改變字元轉義的行為,從而緩解潛在的漏洞。
如果正確使用並與安全實務結合使用,PDO 準備結合使用語句可以有效防止SQL 注入。模式以減輕潛在漏洞至關重要。
以上是PDO 準備語句真的能免於 SQL 注入攻擊嗎?的詳細內容。更多資訊請關注PHP中文網其他相關文章!