ここにある Zebra_Database という名前の MySQL ラッパーの使用を検討しています。
http://stefangabos.ro/php-libraries/zebra-database/
これがSQLインジェクションから保護されているかどうか、または自分自身を保護するために実行する必要がある追加の手順があるかどうか、誰かがコードで判断できますか?
ありがとう!!
質問する
391 次
2 に答える
2
プリペアド ステートメント (mysqli で使用されているのと同じ限定バージョン) の使用を奨励しているため、100% の保護は提供されません。
ある種のクエリ ビルダーを使用するため、SQL が柔軟性に欠けます (したがって、再び安全ではなくなります)。
個人的には使用しませんが、とにかく「各入力を mysqli_real_escape_string でラップする」よりも優れています。
于 2013-03-30T16:27:13.120 に答える
1
これにより、SQL インジェクションの影響を受けにくい準備済みステートメントの使用が促進されます。
Zebra_Database のフロント ページから:
開発者が保守可能なコードを書くことを奨励し、パラメータが自動的にエスケープされる準備済みステートメントの使用を奨励することにより、より優れたデフォルト セキュリティ レイヤーを提供します。
つまり、そもそも SQL インジェクションの影響を受けにくい準備済みステートメントを使用する必要があります。準備済みステートメントの使用法については、この質問を参照してください。
于 2013-03-30T16:09:04.537 に答える