我在想,如果我是SQL注入安全的,如果我有这样的脚本:我安全吗? [试图阻止SQL注入]
< script>
//some stuff
var item = <?php echo json_oncode($PHPVAR) ?>
item.replace(/"/,'"').replace(/'/,''');
//do more script stuff with item
< /script>
目前使用Laravel(PHP),与PDO 是否有其他任何我应该知道/注意什么? (我没有白名单/黑名单之前提交到数据库b/c PDO这样做对我来说,从我的理解)
另外我问b/c项来自用户输入,它动态地创建HTML使用项目的价值
它看起来像你在写JS,而不是PHP? – Synchro
这是客户端,所以没有。使用预准备的语句还有'json_oncode'是一个错字? – chris85
我需要几乎所有的代码才能告诉你,如果你是安全的SQL注入。通常,将pdo与预准备语句一起使用,并且不要将用户输入连接(将字符串添加在一起)到sql语句(即使用参数)中将会保护您。虽然我不能保证一切。 – willaien