1. フィルター
PDO を使用していますが、('or'' =') のような潜在的なエスケープ文字がまだ必要かどうかを知りたいと思っています
既に多くのことを読んでおり、PDO は SQL インジェクションを防ぐのに十分であると言う人もいます
2. BBCode
In a text fieldhtmlspecialcharsは、HTML フォーマットを表示しないための最良のオプションですか?
ありがとう
2 に答える
1
- PDO だけでは不十分です。準備されたステートメント、またはエスケープは、使用するメソッドにアクセスする適切なメソッドです。この質問を参照してください
- BBCode は HTML ではありません。BBCode を使用している場合は必要ありません
htmlspecialchars
于 2013-11-07T04:18:13.070 に答える
0
('or'' =') のような潜在的なエスケープ文字がまだ必要な場合
実際のところ、やのような「危険な」文字をエスケープするのには何の役にも立ちませんでした。'or'=
PDO は SQL インジェクションを防ぐのに十分です
PDO は、それだけでは保護を行いません。それを安全にするのは、クエリ内のすべての動的データにプレースホルダーを使用する準備済みステートメントです。
PDO が提供する準備済みステートメントでカバーされないケースについては、safeMysqlを使用するか、クエリ部分を手動でフォーマットしてホワイトリストに登録してください。
于 2013-11-07T06:52:09.507 に答える