誰かがこれを確認できますか:PDO :: PARAMを使用している場合、PDO:PARAMはすでにそれを行っているので、mysqlデータベースに挿入するためにサニタイズをフィルタリングする必要はありません...
user1187135
質問する
411 次
1 に答える
5
「PDO::PARAM」とは、パラメータをプリペアドステートメントにバインドすることを意味すると思います。
はい、プリペアドステートメントを適切に使用すれば、SQLインジェクションを回避するためにこれ以上何もする必要はありません。これは、データベースがSQLステートメントとユーザー指定の値の違いを明確に確認できるためです。バインディングパラメータは、これらの値をサニタイズまたはエスケープするのではなく、ステートメントをデータから分離することにより、サニタイズおよびエスケープのビジネス全体を回避します。
于 2012-06-29T14:46:22.130 に答える