下面的代码可以有效防止 sql 注入吗 ?

下面的代码可以有效防止 sql 注入吗 ?

大家一般是怎么做的 . 


 <?php

$dbh = new PDO("mysql:host=localhost; dbname=mydb", "root", "pass");

$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); //禁用prepared statements的仿真效果
$dbh->exec("set names 'utf8'"); 

$sql="select * from table where username = ? and password = ?";

$query = $dbh->prepare($sql); 

$exeres = $query->execute(array($username, $pass)); 

if ($exeres) { 

    while ($row = $query->fetch(PDO::FETCH_ASSOC)) {
        print_r($row);
    }

}
$dbh = null;

?>

sql注入 php pdo mysql


share
好想吃西瓜啊 10 years, 4 months ago

Answers

你的代码完全可以防止SQL注入,因为PDO就是SQL预处理的。


share
404011 answered 10 years, 4 months ago

建议这样写, 能更有效的防注入 


 ......

$sql="select * from table where username = ?";

......


    while ($row = $query->fetch(PDO::FETCH_ASSOC) && $row['pass'] == $pass) {
        print_r($row);
    }

share
LMCQF answered 10 years, 4 months ago

Your Answer

Ask Question
Related questions

PDO字段类型影响索引的使用吗

PHP MySQL 关于文章字段,内容分页的几个小问题?

模拟sql注入,为啥没成功?

php 使用pdo连接mysql,驱动为mysqlnd, 连接时提示 cannot find ...

PDO 报错 DibiDriverException: SQLSTATE[HY000]:

php中数据库pdo的exec方法返回影响行数的问题