**因为没有使用框架直接用的PDO链接的数据库,
所以要对sql进行防注入处理,
找了好多都是对参数进行过滤处理,
没有用PDO预处理(占位符方法)做的防注入,
所以想问哪位大神有没有用PHP写的POD防sql注入的类?
求连接!求代码!求指教!
如果有其他好的防SQL注入的方法,也请大神指教!**
不使用框架,不代表不能借鉴框架里的方法,看一看底层源码,即可理解,拿来就可以用。
普遍还可以支持不只一种数据库。
https://packagist.org
上以sql或pdo为关键字可以搜出一堆,composer下载就可以用。没必要重复造轮子了
一段简单的登陆代码,用的是预编译方法防止sql注入。力之所及,希望有所帮助!
建议去看看数据库入门知识之【参数查询】的相关内容。
PDO 预处理 绑定参数
绝对不要用拼接SQL语句!!
试试单独用 Eloquent
绑定参数可以解决
https://github.com/indieteq/indieteq-php-my-sql-pdo-database-class 这个有用不?实在不行,自己简单封装一下罗。
$like = $db->query("SELECT * FROM Persons WHERE Firstname LIKE :firstname ", array("firstname"=>"sekit%"));
http://php.net/manual/zh/pdos...
bindColumn 可以防注入
防注入很简单,对冒号转义就行,注入的关键就是冒号,过不了这一关,其他什么特殊字符都白费。
pdo 不是有一个prepare吗?就是用来防注入的吧