thinkphp中有預處理。 「ThinkPHP3.1」版本增加了對條件字串進行預處理的支持,讓ORM的安全性更得以保證。方法:1、使用where方法對字串條件預處理;2、使用query和execute方法對原生SQL查詢方式預處理。
本文操作環境:Windows10系統、ThinkPHP5版、Dell G3電腦。
thinkphp中有預處理
以往的ThinkPHP3.0版本對陣列方式的查詢條件會進行安全過濾(這是由於3.0強制使用了字段類型檢測,所以數組方式的查詢條件會強制轉換為字段的設定類型),但是3.0版本並不支援字串條件的安全過濾。而ThinkPHP3.1版本則增加了對條件字串進行預處理的支持,讓ORM的安全性更得以保證。
一、使用where方法
Model類別的where方法支援字串條件預處理,使用方式:
$Model->where("id=%d and username='%s' and
xx='%f'",array($id,$username,$xx))->select();或直接使用:
$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();如果$id變數來自使用者提交或URL位址的話,如果傳入的是非數字類型,則會強制格式化為數字格式後進行查詢操作。
字串預處理格式類型支援指定數字、字串等,具體可以參考vsprintf方法的參數說明。
二、使用query和execute方法
除了where條件外,對原生SQL查詢方式也支援預處理機制,例如:
$Model->query("SELECT * FROM think_user WHERE id=%d and username='%s' and xx='%f'",array($id,$username,$xx));#模型的execute方法也和query方法一樣支援預處理機制。
推薦學習:《PHP影片教學》
以上是thinkphp中有預處理嗎的詳細內容。更多資訊請關注PHP中文網其他相關文章!
