这是一个创建于 2769 天前的主题,其中的信息可能已经有所发展或是发生改变。
请教下大神
使用了 pdo 是不是就可以无视 sql 注入了?
努力了一下午
用 medoo 把网站原来的 mysqli 拼接语句换成 pdo
那么现在问题来了
在不考虑极端情况下
pdo 可以不过滤任何用户输入的内容直接入库吗?
使用了 pdo 是不是就可以无视 sql 注入了?
努力了一下午
用 medoo 把网站原来的 mysqli 拼接语句换成 pdo
那么现在问题来了
在不考虑极端情况下
pdo 可以不过滤任何用户输入的内容直接入库吗?
 | 1 carlclone 2018-06-03 19:08:08 +08:00 via Android prepare 预处理查询语句 |
 | 2 m939594960 2018-06-03 19:34:45 +08:00 只要用参数绑定的话可以。很多框架应该都是这么做的。 当然不排除将来有其他绕过的方法 |
 | 3 hly9469 2018-06-03 19:35:52 +08:00 via iPhone pdo 只是个数据库连接驱动,跟防注入有啥关系? |
 | 5 Felldeadbird 2018-06-03 19:43:51 +08:00 via iPhone mysqli 也可以参数绑定。这个是将提交参数给数据库处理。这样才可以防止注入。 当然,以后出来 bug 一样会有注入。只是现在还没出现 |
 | 6 peizhao2017 OP @Felldeadbird #5 我话没说全 我想问的是 原来用的是 sql 拼接 现在改成了 PDO::prepare 那么在 PDO::prepare 的情况下 还需要对用户的输入内容做各种转义和过滤吗?? 是不是就可以直接入库 |
 | 7 SourceMan 2018-06-03 20:10:53 +08:00 via iPhone 大部分情况可以 |
 | 8 Death 2018-06-03 20:15:14 +08:00 via Android |
 | 9 hilow 2018-06-03 20:16:31 +08:00 经过 prepare 后的参数,对 mysql 来说,是安全的,可以直接入库 但安全是个大问题,对 mysql 安全的数据,也许在其他地方使用,就会引起注入问题 比如 存入 mysql 中的是 js 代码,那你经过处理直接把这些 文本 用到前端,就可能引起问题 推荐一本书 白帽子讲 web 安全,里面有全面的有关示例 |
| 10 peizhao2017 OP |
| 11 peizhao2017 OP @hilow #9 如果不过滤和转义的内容 PDO::prepare 后对 MySQL 是安全的 那么 xss 方面我用白名单 即前端输出的时候只留常规的<p><br><img>等需要的 html 标签 其他的一律过滤不显示或转义后显示 这样是不是就基本可以预防大部分的 sql 注入和 xss 攻击了 |
Select Language