Php 在将用户输入插入数据库之前,除了准备好的语句之外,还有什么其他内容吗?
根据我目前的理解,将用户输入插入数据库的风险是sql注入,由准备好的语句处理,根据我所阅读的内容,在使用Php 在将用户输入插入数据库之前,除了准备好的语句之外,还有什么其他内容吗?,php,mysql,sql,Php,Mysql,Sql,根据我目前的理解,将用户输入插入数据库的风险是sql注入,由准备好的语句处理,根据我所阅读的内容,在使用htmlspecialchars()等函数将数据保存到数据库之前,不应更改数据从页面上的数据库回显用户输入时,应始终使用此选项 因此,如果我有这样一个查询,例如: $var1 = $_POST['userInput1']; $var1 = $_POST['userInput2']; $stmt = $db->prepare("INSERT INTO tableName (Column1
htmlspecialchars()等函数将数据保存到数据库之前,不应更改数据$var1 = $_POST['userInput1'];
$var1 = $_POST['userInput2'];
$stmt = $db->prepare("INSERT INTO tableName (Column1, Column2) VALUES (?, ?)");
$stmt->bindParam(1, $var1);
$stmt->bindParam(2, $var2);
$stmt->execute();
另外,我应该使用命名占位符而不是位置占位符,还是这只是一个优先事项 正如我看到的,您从用户处获取两个输入并将其放入数据库中, 在我看来,您的数据必须至少通过这两个过程
//If You Want The Output after Validation and Sanitize "Hello" as string and 5 length chars.
$userInput = "Hel<script></script>";
我希望这有帮助 在将变量用作准备状态的参数之前,无需对其进行任何处理 事实上,您不能做任何转义字符串、引号或任何事情,因为反斜杠或任何东西都会被直接插入到您的数据库中 您可能还喜欢PDO的简单用法。您不需要使用bindParam(),只需传递一个值数组以执行(): 关于您关于命名参数占位符的问题: 这没什么区别,它只是一件方便的事情,可以帮助您编写更可读的代码。您仍然可以使用传递值数组的简短形式:
$stmt = $db->prepare("INSERT INTO tableName (Column1, Column2) VALUES (:col1, :col2)");
$stmt->execute(['col1'=>$var1, 'col2'=>$var2]);
$\u POST$stmt = $db->prepare("INSERT INTO tableName (Column1, Column2) VALUES (:userInput1, :userInput2)");
$stmt->execute($_POST);
但是要注意这一点,因为你不能假设
$\u POSTPDO::PARAM_INThtmlspecialchars()$stmt = $db->prepare("INSERT INTO tableName (Column1, Column2) VALUES (:col1, :col2)");
$stmt->execute(['col1'=>$var1, 'col2'=>$var2]);
$stmt = $db->prepare("INSERT INTO tableName (Column1, Column2) VALUES (:userInput1, :userInput2)");
$stmt->execute($_POST);