PDO 中的预备语句真的能提高安全性吗？

2023-12-20

我想知道那些准备好的 PDO 语句是否真的提高了安全性，或者它们只是查询中的“廉价”文本替换。准备好的语句的要点实际上是，无论作为参数插入什么，都不会被 DBMS 解析为指令本身的一部分，因此像这样的参数

"'; DROP TABLE foobar;"

没有任何影响并且不会破坏查询。有谁详细了解这个吗？我想将 PDO 与准备好的语句一起使用来防止 sql 注入。事实证明它们很难使用（甚至不起作用，至少在我的本地机器上），所以我想在浪费更多时间在 PDO 上之前找到这一点;-)

创建准备好的语句将带有通配符的查询发送到服务器进行解析，并返回一个令牌来调用该语句。

调用仅涉及发送绑定到每个参数的数据。这意味着不会解析数据（因为它不是查询字符串的一部分），并且在解析准备好的语句时查询的结构是固定的，并且不能通过注入更改。

所以，是的，准备好的声明肯定会提高安全性。

这也意味着如果您为多个请求重复使用准备好的语句，则不必承担解析开销。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

PDO 中的预备语句真的能提高安全性吗？的相关文章

PHP-MySQLi 连接随机失败并显示“无法分配请求的地址”

大约两周以来我一直在处理 LAMP 堆栈中最奇怪的问题之一长话短说与 MySQL 服务器的随机连接失败并显示错误消息 Warning mysqli real connect HY000 2002 Cannot assign reque
PHP 读取使用 setcookie() 创建的 cookie

来自manual https www php net setcookie 直到下一次加载 Cookie 应该可见的页面之前 Cookie 才会变得可见这意味着创建的 cookiesetcookie将无法访问 COOKIE直到下一页加载有
YUI压缩机或类似的PHP？

我一直在我的测试服务器上使用 yuicompressor jar 来动态最小化已更改的 JavaScript 文件现在我已经将网站部署到公共服务器上我注意到服务器的策略禁止使用 exec 或其等效项因此我不再执行 java 有没有一个
禁用外部点击时关闭模式

我正在制作一些使用模式的博客物质化但我的模态 onclick 外部和错误数据有问题这是我的代码 main js function changepassword var user userlog val var content conte
Microsoft 帐户 JWT 身份验证令牌如何签名？

在我的 Web 应用程序中我需要验证从 Live SDK 5 6 获取的 JWT 身份验证令牌不久前这些令牌的签名是使用签名密钥的 Base64 编码标头有效负载的 HMACSHA256 哈希该签名密钥是应用程序秘密来自 acc
查明具有特定 ID 的会话是否已过期

我正在创建一个上传功能将用户上传的文件存储在服务器上并以用户的会话 ID 作为名称现在我只想将此文件保留在服务器上直到该会话处于活动状态所以我的问题是如何根据会话 ID 确定会话是活动的还是过期的以便在后一种情况下我可以安
PHP Github Pull 脚本错误“权限被拒绝（公钥）”

我已经设置了一个 PHP 脚本来执行 GitHub 拉取这包含在我的 Github 文件夹中 home mysite public html github github pull php 我的服务器已经有 SSH 公钥就像我执行git
PHP 电子邮件验证[重复]

这个问题在这里已经有答案了 For PHP最好的电子邮件验证方法是什么preg NOT ereg因为它是已弃用删除 I don t需要检查该网站是否存在这不像最高安全性我找到了很多方法ereg但它们显然不是好的做法我建议你使用F
在另一个文件中扩展类的正确方法是什么？

这就是我在 foo php 中的内容 class Foo public foo NULL public foo2 NULL public function setFoo foo foo2 this gt foo foo this gt fo
在 mysqli 准备好的语句程序风格中获取最后插入的 id 的正确方法是什么？

我正在使用 mysqli 准备好的语句在表中插入记录如下所示 link mysqli connect localhost my user my password world check connection if link printf
为什么 asort 适用于多维数组？

抱歉如果这是一个非常基本的问题我无意中发现asort http php net manual en function asort php似乎适用于多维数组示例 PHP animals array 1 gt array name gt
当路由不存在时重定向 laravel 4

我正在使用 laravel 4 当我的项目处于生产模式时我得到抱歉找不到您要查找的页面当我到达一条不存在的路线时当我 grep 我的代码时它在两个地方找到 vendor symfony debug Symfony Compone
Gearman，php 扩展问题：使用终端在 .. 中找不到类“GearmanWorker”，但可以在浏览器上使用

我最近在 ubuntu 10 04 上安装了 gearman 并安装了它的 pecl 扩展现在当我在浏览器中运行一个 php 文件时其中包含 client new GearmanWorker die var Dump client I
ASP.NET MVC 3 中嵌入的 PHP 站点的 IgnoreRoute

我有一个带有嵌入式 WordPress 博客的 MVC 3 网站以下所有 url 均通过 MVC 定向 www mysite com www mysite com aboutus www mysite com contactus 我还有一
PHP 中的异或加密

我是 Xor 加密的新手并且在使用以下代码时遇到了一些问题 function xor this string Let s define our key here key magic key Our plaintext ciphertext
如何使用公共客户端颁发的令牌查询keycloak资源权限

我有一个受 keycloak 保护的前端 Javascript 客户端前端应用程序的 Keycloak 客户端类型为Public并打电话给blog gui 我还有一个受保护的 APIConfidential客户端名为 blog api 其
将客户分配到 magento 的多个客户组

您好我想将多个组分配给特定客户例如 Rajat 客户属于批发零售商电力实际上我在上面看到了同样的话题每个客户有多个客户组 https stackoverflow com questions 6153011 multiple c
将 echo 和 print 合并到一个语句中

echo 1 print 2 3 返回 214 脚本如何以 14 结尾当你这样做时 echo 1 print 2 3 PHP 会做 demo http codepad viper 7 com OfrNrs line op fetch ex
使用 Xpath 进行部分匹配

我正在尝试创建一个搜索功能允许使用 Xpath 按歌曲标题或流派进行部分匹配这是我的 XML 文件
Google Drive 服务帐户上传的位置

我正在尝试使用服务帐户将文件上传到我的 Google 云端硬盘当我部署此代码时我不希望用户给予授权我希望他们上传到我的帐户我通过 PHP 使用它下面是我到目前为止的情况这段代码是基于官方文档给出的例子当我运行 php 脚本时

随机推荐

在 DOM 元素上调用自定义方法

我想在 DOM 元素上调用自定义方法像这样 div div 我该如何开发这个问题是否有必要使用jQuery 您不需要使用 jQuery 您可以使用document getElementById MyObject 获取 DOM 节点的引用
加载库 193

我正在创建一个 C CLI dll 它将加载到旧版 C 应用程序中遗留应用程序通过传统的 LoadLibrary 调用来完成此操作应用程序和 C CLI dll 均以 64 位模式编译当发生 LoadLibrary 调用时它会失败并
Rails 中的社交网络 - 哪个框架

我应该使用社区引擎 Insoshi 少爱轨道空间自己卷我希望快速建立一个支持移动浏览的社交网络虽然我熟悉 Ruby 和 Rails 但我不是专家已经构建了一些基本的 Rails 应用程序已经编写了一堆用于企业集成的 Ruby
创建方案 .avsc Avro 时出现问题

我在创建 avro 方案时遇到问题下面我将放置我的方案推特 avsc type record name twitter schema namespace com miguno avro fields name id type recor
发送 X11 点击事件不适用于某些窗口

以下代码片段在大多数情况下都有效除了在某些窗口中例如在最新的 Ubuntu 下它无法在文件资源管理器中选择文件夹它似乎在其他地方都适用但这个差距是巨大的我怀疑这与我使用 XQueryPointer 的方式有关但我已经尝试了几
在 Laravel 4 中构建 SAAS 的正确方法

好吧大约一年前我编写了一个网络应用程序可以帮助为我父亲的公司组织约会现在他没有它就无法做生意我决定建立一个 SAAS 订阅模式并向公众开放它目前基于 codeigniter 和 php 构建我认为这不太适合 SAAS 版本
Java 中的 InterruptedException 处理

以下处理方式有什么区别InterruptedException 最好的方法是什么 try catch InterruptedException e Thread currentThread interrupt OR try catch In
检查给定字符串是否有效匹配一组前缀

使用什么算法来检查给定字符串是否与一组前缀匹配以及该组中的哪个前缀其他变体给定路径和一组目录如何检查路径是否在一组目录中假设没有符号链接或者它们不重要我对算法的描述或名称感兴趣或者解决这个问题的 Perl 模块或者可以用来
CakePHP：使用不同数据库关联两个模型？

我有两个模型 Plant 和 Emp 它们具有 Has And Belongs To Many 关系我已将它们配置为关联并且获取每个数据的查询是正确的但问题是 Plant 和 Emp 位于不同的数据库上 Emp 位于数据库 1 上 P
如何使用 C# 向文件中插入字符

我有一个巨大的文件我必须在其中的特定位置插入某些字符在 C 中执行此操作而无需再次重写整个文件的最简单方法是什么文件系统不支持在文件中间插入数据如果您确实需要一个可以以排序方式写入的文件我建议您考虑使用嵌入式数据库您可能想看
如何使用捆绑器重新安装 gem

I did a bundle show并获取 gem 目录的完整路径不幸的是我使用删除了目录rm r gem path 然后我的 Rails 应用程序不再工作了如果我尝试启动服务器或启动 Rails 控制台它会输出以下错误
地图和列表中的 ModCount

在调试 eclispse 中的集合时我只是检查是否存在名为 modCount 的东西例如如果我们调试列表我们将在调试中检查此 modCount 代表的内容时看到请告知请参阅 javadoc 该列表的结构修改次数结构修改是那些改
将不同的 CSS 应用于不同的 jQuery 日期选择器

我有几个与输入字段绑定的日期选择器它们以通常的方式创建 input1 datepicker options1 input2 datepicker options2 现在我想为每个领域设置不同的样式但是当在 Firefox 中检查页面时
将多个列表理解转换为单个列表理解

我正在尝试使用列表理解来更改列表的值我可以通过使用 3 个列表理解来做到这一点 clr 1 2 2 1 3 1 2 3 clr green if i 1 else i for i in clr clr yellow if i 2 else
阿普塔纳工作室3.3.1。 JavaScript 代码补全

我是 Aptana 的新手刚刚开始了一个本质是 Web 的项目我在代码完成方面遇到两个问题在网上做了一些研究但没有找到解决方案 1 我有这两行代码 var script document createElement script s
如何在 XML+XSL 生成的 HTML 中使用 jQuery 来操作 UL？

这是 XML
Kotlin：迭代 JSONArray

我正在使用 Kotlin 和 Realm 编写 Android 应用程序我有一个 JSONArray 我想迭代该数组中的 JSONObject 以便将它们加载到 Realm 数据库类中境界等级 import io realm Realm
统一成本搜索实施

I am trying to implement the Uniform Cost Search after watching the Intro to AI course in Udacity However my algorithm i
是否可以*仅*跨子子域共享表单身份验证？

我知道我可以跨 2 个子域共享表单身份验证sub1 domain com sub2 domain com通过使用以下 Web config 设置
PDO 中的预备语句真的能提高安全性吗？

我想知道那些准备好的 PDO 语句是否真的提高了安全性或者它们只是查询中的廉价文本替换准备好的语句的要点实际上是无论作为参数插入什么都不会被 DBMS 解析为指令本身的一部分因此像这样的参数 DROP TABLE foobar

PDO 中的预备语句真的能提高安全性吗？

PDO 中的预备语句真的能提高安全性吗？ 的相关文章

随机推荐

热门标签

PDO 中的预备语句真的能提高安全性吗？的相关文章