Comment désinfecter l'entrée avec PDO?
Dois-je utiliser mysql_real_escape_string()
sur mon entrée (comme $_POST
et $_GET
) lorsque j'utilise le AOP bibliothèque?
Comment échapper à la saisie de l'utilisateur avec PDO?
source d'informationauteur Karem
Vous devez vous connecter pour publier un commentaire.
Si vous utilisez PDO vous pouvez parametize vos requêtes, en supprimant la nécessité d'échapper à toutes les variables incluses.
Voir ici pour un excellent tutoriel d'introduction pour les AOP.
Utiliser PDO, vous pouvez séparer le SQL et de transmettre des paramètres à l'aide de déclarations préparées à l'avance, ce qui supprime le besoin d'échapper les chaînes, que parce que les deux sont détenus séparément puis combinés lors de l'exécution, les paramètres sont automatiquement traitées comme des piqûres, de la ci-dessus source:
Remarque: le nettoyage se produit au cours de variable de liaison (
$stmt->bindParam
)D'autres ressources:
http://net.tutsplus.com/tutorials/php/why-you-should-be-using-phps-pdo-for-database-access/
http://www.phpeveryday.com/articles/PDO-Prepared-Statement-P550.html
http://php.net/manual/en/pdo.prepared-statements.php
Le point important lors de l'utilisation de PDO est:
Donc oui, pour l'écrit, tels que l'INSERTION ou de mise à JOUR, il est particulièrement important de toujours filtrer vos données et de désinfecter pour d'autres choses (suppression des balises HTML, JavaScript, etc).
Sans désinfection à l'entrée de l'utilisateur, un hacker pourrait avoir économisé un peu de javascript dans votre base de données et ensuite, lorsque la sortie vers votre site, vous avez été exposé à une menace!
http://www.phptherightway.com/#pdo_extension