文件名称:关于防止sql注入的几个知识点
文件大小:47KB
文件格式:PDF
更新时间:2024-01-04 17:04:53
sq SQL sql注入
1.PDO预处理是。 你可以把他看成是要运行的sql的已经编译过的模板,它可以用变量参数进行定制 它有两个显著优点: 1.1:查询仅需解析一次,但可以用相同或者不同参数执行多次。换句话说如果要以不同的参数执行同样的语句执行多次,利用PDO可以大大降低应用程序的速度。 1.2:提供给预处理的语句不需要携带引号,所以可以有效防止sql的注入。但是如果查询的其他部分是由未转义的输入来构建的,则仍存在sql注入的风险。 1.3:另外pdo预处理无效的地方: 1.3.1:limit语句 1.3.2:like%?%.不能这么使用,占位符必须代表整个字符。所以可以这