欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  后端开发

下面的代码可以有效防止 sql 注入吗 ?

程序员文章站 2022-04-12 23:30:19
...
下面的代码可以有效防止 sql 注入吗 ?

大家一般是怎么做的 .

setAttribute(PDO::ATTR_EMULATE_PREPARES, false); //禁用prepared statements的仿真效果
$dbh->exec("set names 'utf8'"); 

$sql="select * from table where username = ? and password = ?";

$query = $dbh->prepare($sql); 

$exeres = $query->execute(array($username, $pass)); 

if ($exeres) { 

    while ($row = $query->fetch(PDO::FETCH_ASSOC)) {
        print_r($row);
    }
    
}
$dbh = null;

?>

回复内容:

下面的代码可以有效防止 sql 注入吗 ?

大家一般是怎么做的 .

setAttribute(PDO::ATTR_EMULATE_PREPARES, false); //禁用prepared statements的仿真效果
$dbh->exec("set names 'utf8'"); 

$sql="select * from table where username = ? and password = ?";

$query = $dbh->prepare($sql); 

$exeres = $query->execute(array($username, $pass)); 

if ($exeres) { 

    while ($row = $query->fetch(PDO::FETCH_ASSOC)) {
        print_r($row);
    }
    
}
$dbh = null;

?>

建议这样写, 能更有效的防注入

......

$sql="select * from table where username = ?";

......


    while ($row = $query->fetch(PDO::FETCH_ASSOC) && $row['pass'] == $pass) {
        print_r($row);
    }

你的代码完全可以防止SQL注入,因为PDO就是SQL预处理的。

相关标签: php pdo mysql sql注入

上一篇: node.js中实现同步操作的3种实现方法_node.js

下一篇: 利用HTML实现限制ip的投票网站作弊方案_HTML/Xhtml_网页制作

推荐阅读