【发布时间】:2013-07-16 00:52:12
【问题描述】:
我有一个使用各种数据库操作的站点,例如 SELECT、INSERT、UPDATE 和 DELETE。我正在将所有 mysqli 切换到 PHP PDO。有人告诉我,切换到 PDO 应该有助于保护我的网站免受 SQL 注入的影响,因此应该涵盖这一点。
除了 SQL 注入之外,如果您必须选择 2 个其他安全漏洞来防范,那会是什么?
如果您可以为我提供每个场景的一些代码示例,我们将不胜感激。
【问题讨论】:
-
PDO 不是灵丹妙药。你需要利用它的prepared statements。否则毫无意义。 (并不是所有的东西都可以是一个绑定参数!)-- 对其他漏洞的查询太广泛了。
-
与 mysqli 相比,pdo 提供零安全优势。
-
感谢马里奥的回复。那么您建议我采取的最佳方法是什么?我会接受您的建议并确保使用准备好的语句,但是您还建议我做些什么来保证它的安全?
-
@zeckdude 我会阅读此owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents 以了解它们的所有不同类型的攻击、它们发生的原因以及如何防止它们。
标签: php security pdo sql-injection