0
由于我使用PDO来防止SQL注入,是否仍需要应用PHP的数据过滤器以确保输入是正确的格式? PDO是否保护所有类型的注射?使用过滤日期过滤用户输入
$STH = $DBH->prepare("SELECT * from jem WHERE email=? AND pass=? LIMIT 0,1");
任何更多的提示登录脚本将是帮助。
A
回答
1
在使用PDO之前,我想你正在验证你的数据(例如使用一个验证过滤器),然后在将它插入到你的数据库之前将其转义。现在,你只需要(但仍然需要)做第一件事。
关于你的第二个问题,PDO保护你免受SQL注入。在输出之前,你仍然必须转义html,以防止js代码注入。
相关问题
- 1. 过滤用户输入
- 2. 过滤用户输入
- 3. KnockoutJS - 过滤用户输入
- 4. 通过用户输入过滤ObservableCollection
- 5. 用户输入过滤 - 我需要过滤HTML吗?
- 6. 使用过滤器设置日期字段过滤日期时间字段
- 7. PHP - 当过滤用户输入
- 8. 将用户输入过滤为CSS
- 9. 用户输入过滤表行
- 10. 过滤快速用户触摸输入
- 11. EXCEL VBA过滤器用户输入
- 12. PHP中的用户输入过滤
- 13. 基于用户输入过滤jqgrid
- 14. 过滤用户输入的做法
- 15. 过滤按日期
- 16. SQL日期过滤
- 17. 过滤按日期
- 18. SQL过滤日期
- 19. 使用案例,然后过滤日期
- 20. 使用数组日期过滤功能
- 21. 使用MetaSearch按日期过滤轨道
- 22. 使用日期时间过滤器
- 23. 过滤日期在Oracle使用ADO.NET
- 24. 在R中使用dplyr过滤日期
- 25. 使用Isotop进行日期过滤
- 26. 如何使用sphinx过滤日期?
- 27. 使用Datepicker(AngularJS)过滤日期
- 28. 使用SQL过滤日期范围
- 29. 使用Python过滤特定的日期
- 30. 日期过滤器使用图形API
是的,我会使用“HTML Purifier”去除不相关的HTML和所有服务器端的systax。 – proyb3 2010-09-18 21:50:08
但你的意思是,我仍然需要使用过滤数据功能? – proyb3 2010-09-18 21:53:54
“过滤数据功能”:这是什么?一组函数来验证/清理数据?然后是...一个名为filter_data()的函数?我不知道这个功能。应该使用HTML Purifier(PDO不知道任何关于HTML的内容,所以它不能处理与之相关的安全风险) – greg0ire 2010-09-18 22:41:56