相对于sql注入的安全性是否合理?

| 我正准备启动一个网站-我从头开始编写的第一个网站。这将是低流量和低调的(可能不会被搜索引擎抓取。)我正在使用PEAR的数据库库及其query()方法的占位符进行存储用户数据,如下: 
<?php
require_once(\'db.inc\');
$firstname = $_POST[\'firstname\']; 
$lastname = $_POST[\'lastname\'];
$rsvp = $_POST[\'rsvp\'];
$mail = $_POST[\'email\'];
$phone = $_POST[\'phone\'];
$lodging = $_POST[\'lodging\'];
$extra = $_POST[\'extra\'];
$msg = $_POST[\'msg\'];
$password = $_POST[\'password\'];
$id = $_POST[\'id\'];
$username = $firstname . \' \' . $lastname;

if (isset($id)) {
  $sql = $conn->query(\"UPDATE guest SET username = ?, mail = ?, phone = ?, lodging = ?, extra = ?, msg = ?, role = ?, password = ?, mailed = ? WHERE id = ?\", array($username, $mail, $phone, $lodging,$extra, $msg, 2, $password, 0, $id)); //TODO!! set mailed to 1 in production
  } else {
  $sql = $conn->query(\'INSERT INTO guest (username, password, rsvpstatus, role, mail, phone, lodging, extra, msg, mailed)VALUES (?,?,?,?,?,?,?,?)\', array($username, $password, $rsvp,  2, $mail, $phone, $lodging, $extra, $msg, 1));
  }

 header(\'location:main.php\');
与sql注入相比,这似乎是一个合理的保护级别吗?     
2020-05-23 4 条评论
分享

没有找到相关结果

    已邀请:

    信藉乒

    像您所做的那样,占位符和绑定正是针对sql注入的防御措施。只要您从不直接将任何用户输入内插到sql中,就可以了。     
    2020-05-23 0 0
    分享

    锑寝粒

    您可以在PHP中使用mysql_real_escape_string函数(php.net中的view函数)   转义中的特殊字符   unescaped_string,考虑到   当前的字符集   连接,以便安全放置   它在mysql_query()中 例: 
    $secure_firstname = mysql_real_escape_string( $_POST[\'firstname\'] );
$secure_lastname = mysql_real_escape_string( $_POST[\'lastname\'] );
        
    2020-05-23 0 0
    分享

    械怒等

    只要该库引用并转义其所有参数,就可以了。     
    2020-05-23 0 0
    分享
    为什么被折叠? 0 个回复被折叠

    要回复问题请先登录注册

    或代码 OrCode.com 备案号:粤ICP备15020848号-1
    Escape time: 0.0608229637146