为啥PDO可以有效防止注入？

一直知道他可以防止注入，今天在网上也看到了一些文章还是没搞明白，即使是他分两次发送的，那攻击着也照样可以在参数上拼接阿
http://blog.olesee.org/2015/10/14/pdo-%E9%98%B2%E6%AD%A2sql%E6%B3%A8%E5%85%A5%E7%9A%84%E5%8E%9F%E7%90%86/

php sql注入

mysql sql

阅读 4.3k

2 个回答

vimac

✓ 已被采纳

这背后是MySQL的预处理实现的，PDO发送给MySQL的并不是“拼接”后的SQL语句

举个例子

PREPARE mystatement FROM "SELECT * FROM topic WHERE id = ? or id = ?";
set @a = 1;
set @b = 2;
EXECUTE mystatement USING @a, @b;
DEALLOCATE PREPARE mystatement;

其实关键的一点就是语句和数据通过这个方式实现了分离，例子中的@a, @b的内容怎么变，SQL的语法解析都不会把它们解析成语句的一部分

文档在此 http://dev.mysql.com/doc/refman/5.7/en/sql-syntax-prepared-statements.html

撰写回答

你尚未登录，登录后可以

和开发者交流问题的细节
关注并接收问题和回答的更新提醒
参与内容的编辑和改进，让解决方法与时俱进

推荐问题

相似问题

找不到问题？创建新问题

为啥PDO可以有效防止注入？

你尚未登录，登录后可以

我们知道MySQL字段可以存放纯文本，但是富文本有图片，有标题样式等情况，一般是怎么进行存储的呢？

如何在SpringBoot/MySQL事务中并行执行多条SQL？

求java/php大佬帮帮忙？

新人求看下如何用php对接第三方接口?

Hyperf Swagger 如何使用？

请问，如下我们在定义Link表的时候，是否是只能定义为4个字段？

(10元)为什么UTF8的TXT文件存入SQLite后大小增加近三倍？