下面的代码可以有效防止 sql 注入吗 ?

文章目录[隐藏]

回复内容：

大家一般是怎么做的 .

<code><?php$dbh = new PDO("mysql:host=localhost; dbname=mydb", "root", "pass");$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); //禁用prepared statements的仿真效果$dbh->exec("set names 'utf8'"); $sql="select * from table where username = ? and password = ?";$query = $dbh->prepare($sql); $exeres = $query->execute(array($username, $pass)); if ($exeres) {     while ($row = $query->fetch(PDO::FETCH_ASSOC)) {        print_r($row);    }    }$dbh = null;?></code>

回复内容：

下面的代码可以有效防止 sql 注入吗 ?

大家一般是怎么做的 .

<code><?php$dbh = new PDO("mysql:host=localhost; dbname=mydb", "root", "pass");$dbh->setAttri<p>5本文来源gao!daima.com搞$代!码#网#</p><pre>搞代gaodaima码

bute(PDO::ATTR_EMULATE_PREPARES, false); //禁用prepared statements的仿真效果$dbh->exec(“set names ‘utf8′”); $sql=”select * from table where username = ? and password = ?”;$query = $dbh->prepare($sql); $exeres = $query->execute(array($username, $pass)); if ($exeres) { while ($row = $query->fetch(PDO::FETCH_ASSOC)) { print_r($row); } }$dbh = null;?>

建议这样写, 能更有效的防注入

<code>......$sql="select * from table where username = ?";......    while ($row = $query->fetch(PDO::FETCH_ASSOC) && $row['pass'] == $pass) {        print_r($row);    }</code>

你的代码完全可以防止SQL注入，因为PDO就是SQL预处理的。

搞代码网（gaodaima.com）提供的所有资源部分来自互联网，如果有侵犯您的版权或其他权益，请说明详细缘由并提供版权或权益证明然后发送到邮箱[email protected]‍，我们会在看到邮件的第一时间内为您处理，或直接联系QQ：872152909。本网站采用BY-NC-SA协议进行授权
转载请注明原文链接：下面的代码可以有效防止 sql 注入吗 ?

回复内容：

Hi，您需要填写昵称和邮箱！