http://blog.csdn.net/fdipzone/article/details/22330345需要注意的是以下几种情况,PDO并不能帮助你防范SQL注入。
不能让占位符 ? 代替一组值,这样只会获取到这组数据的第一个值,如:
select * from table where userid in ( ? );
如果要用in來查找,可以改用find_in_set()实现
$ids = '1,2,3,4,5,6';
select * from table where find_in_set(userid, ?); 不能让占位符代替数据表名或列名,如:
select * from table order by ?; 不能让占位符 ? 代替任何其他SQL语法,如:
select extract( ? from addtime) as mytime from table;
不能让占位符 ? 代替一组值,这样只会获取到这组数据的第一个值,如:
select * from table where userid in ( ? );
如果要用in來查找,可以改用find_in_set()实现
$ids = '1,2,3,4,5,6';
select * from table where find_in_set(userid, ?); 不能让占位符代替数据表名或列名,如:
select * from table order by ?; 不能让占位符 ? 代替任何其他SQL语法,如:
select extract( ? from addtime) as mytime from table;
解决方案 »
免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货