pswin.pooya
پنج شنبه 05 دی 1392, 11:34 صبح
سلام
با بایند کردن پارامترها در PDO میشه از sql injection جلوگیری کرد؟
من یه متن html به صورت زیر رو بایند میکنم:
direction=\"rtl"\
بعدش این متن به صورت زیر ذخیره میشه:
direction=\"rtl\"
یعنی کاراکترهای فرار در نظر گرفته نمیشن و دقیقا همنجوری ذخیره میشن. اگر PDO خودش به کاراکارهایی مثل کوات ( " ) حساس نیست لازمه باز چک sql injection انجام بدیم؟
و اینکه PDO چه کاراکترهای دیگه ای رو هم در نظر نمی گیره. ( یعنی فقط محدود به کوات هست و یا نه )
با بایند کردن پارامترها در PDO میشه از sql injection جلوگیری کرد؟
من یه متن html به صورت زیر رو بایند میکنم:
direction=\"rtl"\
بعدش این متن به صورت زیر ذخیره میشه:
direction=\"rtl\"
یعنی کاراکترهای فرار در نظر گرفته نمیشن و دقیقا همنجوری ذخیره میشن. اگر PDO خودش به کاراکارهایی مثل کوات ( " ) حساس نیست لازمه باز چک sql injection انجام بدیم؟
و اینکه PDO چه کاراکترهای دیگه ای رو هم در نظر نمی گیره. ( یعنی فقط محدود به کوات هست و یا نه )