PHP如果不使用PDO,在建構SQL語句的時候,如何杜絕注入?
sprint 格式化字串能杜絕嗎?
不能。 一定要轉義特殊字元如引號、反引號。 一定要注意資料庫的編碼。 一定要過濾語句中的特殊編碼。 pdo使用了資料庫的參數綁定,所以避免了注入。
不能。
一定要轉義特殊字元如引號、反引號。
一定要注意資料庫的編碼。
一定要過濾語句中的特殊編碼。
pdo使用了資料庫的參數綁定,所以避免了注入。