有人可以确认这一点吗:如果我使用的是PDO::P ARAM,我不需要过滤清理来注入mysql数据库,因为PDO:PARAM已经这样做了......
通过"PDO::P ARAM",我想你的意思是将参数绑定到准备好的语句中。
是的,如果您正确使用预准备语句,则无需执行任何其他操作来避免SQL注入,因为数据库有机会清楚地看到SQL语句和用户提供的值之间的差异。绑定参数不会清理或转义这些值,它通过将语句与数据分开来回避清理和转义的整个业务。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium