感谢您提出有趣的问题。干得好:
它逃脱了危险人物,
您的概念完全 错误。
实际上“危险人物”是神话,没有神话。和mysql_real_escape_string转义,但只是一个 字符串定界符
。从这个定义中,您可以得出它的局限性-仅适用于 string 。
但是,它仍然容易受到其他攻击的攻击,这些攻击可能包含安全字符,但可能有害于显示数据或在某些情况下恶意修改或删除数据。
您在这里混合了所有内容。
说到数据库,
- 对于字符串,它 不是脆弱的。 只要您的字符串被引用和转义,它们 就不能 “恶意修改或删除数据”。
*
- 对于其他数据类型data-是的,它 没有用 。但这不是因为它“不安全”,而是因为使用不当。
至于显示数据,我认为它在与PDO有关的问题中是 题外话 ,因为 PDO也与显示数据无关。
转义用户输入
^^^另一个需要注意的错觉!
用户输入与转义绝对无关 。从前一个定义中可以了解到,您必须转义字符串,而不是“用户输入”。因此,再次:
- 您有转义字符串,无论其来源如何
- 无论源如何,都无法逃脱其他类型的数据。
明白了吗?
现在,我希望您了解转义的局限性以及“危险人物”的误解。
据我了解,使用PDO /预备语句更安全
并不是的。
实际上,我们可以动态添加 四个 不同的查询部分:
- 一个字符串
- 一个号码
- 标识符
- 语法关键字。
因此,您可以看到转义仅涵盖一个问题。(但是,当然,如果将数字视为字符串(用引号引起来),则 在适用 时也可以使其安全)
而准备好的语句涵盖了-嗯-全部2个问题!很大;-)
对于其他两个问题,请参阅我的早期答案:在PHP中,在向数据库提交字符串时,我应该使用htmlspecialchars()还是使用正则表达式来处理非法字符?
现在,函数名称有所不同,因此我的mysql_query,mysql_fetch_array,mysql_num_rows等不再起作用。
那是 PHP 用户的 另一种 严重的幻想 , 一种自然灾害,一场灾难:
即使使用旧的mysql驱动程序, 也永远不要 在其代码中 使用裸露的API函数
!必须将它们放在某种库函数中以供日常使用!(这并不是一个魔术,只是为了使代码更短,更少重复,防错,更一致和可读性更高)。
PDO也是如此!
现在再次提出您的问题。
但是通过使用它们是否可以消除使用mysql_real_escape_string之类的东西的需要?
是。
但是我认为这大致是应该从数据库中获取用户的想法。
不是要获取,而是 要向查询添加任何数据 !
如果我没记错的话,你必须在PDO:PARAM_STR之后给出一个长度
您可以,但不必。
现在,这一切安全吗?
在数据库安全方面,此代码中没有弱点。没什么要固定的。
为了确保显示安全-只需在该网站上搜索
XSS关键字即可。
希望我对此事有所了解。
顺便说一句,对于长插入,您可以使用我有一天写的函数,使用PDO插入/更新帮助器函数
但是,我目前不使用准备好的语句,因为我喜欢使用自制的占位符,而不要使用上面提到 的库 。因此,要对付下面的riha发布的代码,该代码将短于这两行:
$sql = 'SELECt * FROM `users` WHERe `name`=?s AND `type`=?s AND `active`=?i';$data = $db->getRow($sql,$_GET['name'],'admin',1);
但是,当然,您也可以使用准备好的语句使用相同的代码。
* (yes I am aware of the Schiflett's scaring tales)
