PDO의 준비된 문이 실제로 보안을 강화하는지 또는 쿼리에서 "값싼"텍스트 대체인지 궁금합니다. 매개 변수로 삽입됩니다 그 어떤 실제로 준비된 명령문의 요점은, 아무 효과가 없습니다 때문에 매개 변수PDO에서 준비된 진술은 실제로 보안을 강화합니까?
"'; DROP TABLE foobar;"
같은 지침 자체의 일환으로 DBMS에 의해 해석되지 않고 쿼리를 중단하지 않습니다. 누구든지이 점을 자세히 알고 있습니까? 필자는 SQL 삽입 방지를 위해 준비된 문으로 PDO를 사용하려고 생각했습니다. 그들이 사용하기가 어렵다는 것 (그리고 심지어는 내 로컬 컴퓨터에서 작동하지도 않음)이 밝혀 지므로 PDO로 훨씬 많은 시간을 낭비하기 전에 이것을 찾아야합니다 .-)
http://ilia.ws/archives/103-mysql_real_escape_string-versus-Prepared-Statements.html –
Google이이 질문에 대답 한 이전 SO 질문을 표시하면서 투표를 종료했습니다. – si618
세미콜론을 "쿼리 스태킹 (tag stacking)"이라고 부른 다음 끝에 다른 문을 추가하는 예가 있습니다. 쿼리 스태킹은 특정 언어 모듈을 사용할 때 일부 DBMS에서만 작동하며 보편적이지 않습니다. 보편적 인 것은 AND, OR, UNION, ORDER BY 등과 같은 SQL 키워드를 통해 기존 쿼리에 SQL의 새로운 비트를 추가하는 것입니다. – Cheekysoft