php - 使用tb框架开发还用防止sql注入吗？怎么防止SQL注入？求大神解答

问题描述

问 题

使用tb框架开发还用防止sql注入吗？怎么防止SQL注入？求大神解答

解决方案

一个简单的：
用PDO操作数据库，要执行的sql语句中用:占位符或者?占位符代替直接拼接字符串，然后用bindParam来绑定参数并且规定参数的类型。
一个简单的例子

$pdo = new PDO("mysql:host=$servername;dbname=myDB", $username, $password);//先新建一个PDO
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);//开启PDO的报错
$sql = 'SELECT * FROM article WHERE id > ? ;';//使用?占位符
try{
    $stmt = $pdo->prepare(sql);//返回的statment的值赋给$stmt
    $stmt -> bindParam(要绑定的占位符的位置, 要绑定的变量 [, 数据类型]);//bindParam()是$stmt的方法而不是$pdo的方法
    $stmt -> execute();//执行sql语句
} catch (PDOException $e) {
        echo 'Execute SQL failed: ' . $e->getMessage();
        exit();
    }

这篇关于php - 使用tb框架开发还用防止sql注入吗？怎么防止SQL注入？求大神解答的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！