PDO防注入的一点积累

alan · · 63 次点击 · · 开始浏览    
这是一个创建于 的文章,其中的信息可能已经有所发展或是发生改变。

为什么使用PDO

合理使用PDO可以根本上杜绝sql注入

一些参数配置

PDO::MYSQL_ATTR_INIT_COMMAND参数的意义是在查询sql之前,先发送初始化命令:set names utf8mb4

PDO::ATTR_EMULATE_PREPARES 表示是否使用本地模拟prepare,不要使用本地模拟,所以设置为false

最佳实践:

设置ATTR_EMULATE_PREPARES为false
设置PDO::MYSQL_ATTR_INIT_COMMAND为true,pdo会默认使用set names utf8设置编码
使用高版本的php(php7+)
使用高版本的mysql
使用合理的编码,弃用GBK编码,防止宽字符注入

本文来自:Segmentfault

感谢作者:alan

查看原文:PDO防注入的一点积累

63 次点击  
加入收藏 微博
0 回复
暂无回复
添加一条新回复 (您需要 登录 后才能回复 没有账号 ?)
  • 请尽量让自己的回复能够对别人有帮助
  • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`
  • 支持 @ 本站用户;支持表情(输入 : 提示),见 Emoji cheat sheet