我发现一个similar question,但它并没有真正给我我正在寻找的答案。 This tutorial解释了WordPress使用的最重要的卫生功能。插入到自定义表格时,我仍然应该转义数据吗?
我正在使用PDO将表单数据存储到自定义表中。很多这些数据包含名称,如l'this
和Cotélac & Blancé
。
如果我把电子邮件和url字段放在一边,是否足以使用esc_attr
和esc_html
来激发SQL注入和跨站点脚本?
我应该在数据保存到数据库之前使用它吗?或者在我将它放到屏幕前?
//From Wordpress
esc_html -> Escaping for HTML blocks
esc_attr -> Encodes the <, >, &, " and '
这是我用一个典型的查询:
$sql = " SELECT name
FROM name
WHERE user_name = :user_name
AND fk_ID = :some_id ";
$stmt = $this->db->prepare($sql);
$stmt->bindParam(':user_name', $name, PDO::PARAM_STR);
$stmt->bindParam(':some_id', $some_id, PDO::PARAM_STR);
$stmt->execute();
$result = $stmt->fetchAll();
return $result;
// alternative (from another query)
$stmt = $this->db->prepare($sql);
$stmt->execute(array(':id'=> $id));
$result = $stmt->fetchAll(PDO::FETCH_ASSOC);
return $result;
取决于*如何*您在使用PDO – 2013-03-27 14:04:10
@YourCommonSense我已经更新了查询例如 – Steven 2013-03-27 14:10:59
问题,你可能想读这样的:HTTP://计算器.com/questions/134099/are-pdo-prepared-statements-sufficient-to-prevent-sql-injection – 2013-03-27 14:14:14