一直知道他可以防止注入,今天在网上也看到了一些文章还是没搞明白,即使是他分两次发送的,那攻击着也照样可以在参数上拼接阿
http://blog.olesee.org/2015/10/14/pdo-%e9%98%b2%e6%ad%a2sql%e6%b3%a8%e5%85%a5%e7%9a%84%e5%8e%9f%e7%90%86/
一直知道他可以防止注入,今天在网上也看到了一些文章还是没搞明白,即使是他分两次发送的,那攻击着也照样可以在参数上拼接阿
http://blog.olesee.org/2015/10/14/pdo-%e9%98%b2%e6%ad%a2sql%e6%b3%a8%e5%85%a5%e7%9a%84%e5%8e%9f%e7%90%86/
这背后是MySQL的预处理实现的,PDO发送给MySQL的并不是“拼接”后的SQL语句
举个例子
Unifiedtransform是一款开源的学校管理软件,可以全面高效地管理学校运营。由于开发者发现缺乏高效、高质量、免费和开源的学校管理软件,因此构建了这个软件。它已经发展成为一个具有广泛实用功能的高标准学校管理平台。这些功能包括:平台角色(学生、管理员、教师、会计等)、支付平台集成、考勤、教学大纲、注册、成绩录入等。用户可以创建班级、分科、考试,添加课程、部门,录入成绩,并最终向学生颁发证书或文凭。
13
<code class="mysql">PREPARE mystatement FROM "SELECT * FROM topic WHERE id = ? or id = ?"; set @a = 1; set @b = 2; EXECUTE mystatement USING @a, @b; DEALLOCATE PREPARE mystatement;</code>
其实关键的一点就是语句和数据通过这个方式实现了分离,例子中的@a, @b的内容怎么变,SQL的语法解析都不会把它们解析成语句的一部分
文档在此 http://dev.mysql.com/doc/refman/5.7/en/sql-syntax-prepared-statements.html
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
709
收藏
