Wie zu vermeiden, mysql Injektionen mit PDO

Wie kann ich vermeiden, dass die mysql-Injektionen? Dies ist der PHP-Datei habe ich jetzt

<?php
include 'config.php';

$Name = $_GET['Name'] ;

$sql = "Select * from tables where names =\"$Name\"";



try {
    $dbh = new PDO("mysql:host=$dbhost;dbname=$dbname", $dbuser, $dbpass);
    $dbh->query('SET CHARACTER SET utf8');
    $dbh->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    $stmt = $dbh->query($sql);  
    $names = $stmt->fetchAll(PDO::FETCH_OBJ);
    $dbh = null;
    echo '{"key":'. json_encode($names) .'}'; 
} catch(PDOException $e) {
    echo '{"error":{"text":'. $e->getMessage() .'}}'; 
}


?>

Wenn ich $stmt = $dbh->query($sql); $stmt->execute(array(':name' => $name)); dem code funktioniert es nicht. Wie also sollte ich es tun?

mögliche Duplikate von Beste Weg, um zu verhindern, dass SQL-Injection in PHP

InformationsquelleAutor user1423276 | 2012-06-07

7

Lesen über pdo prepared statements

Hier ist ein Beispiel
```
$stmt = $dbh->prepare("SELECT * FROM tables WHERE names = :name");
$stmt->execute(array(':name' => $name));
```
- Dies ist sehr wichtig und oft falsch verstanden: nur mit PDO nicht Schutz vor SQL-Injektion. Nur parametrisierten Abfragen wie die obige machen.
- href="http://stackoverflow.com/questions/5741187/sql-injection-that-gets-around-mysql-real-escape-string/12118602#12118602" Titel="sql-injection, das wird rund um mysql-real-escape-string">stackoverflow.com/questions/5741187/... sagt, dass nur PDO prepared statements können nicht verhindern, dass die Injektion. werfen Sie einen Blick auf diese.
InformationsquelleAutor Dmitry Kudryavtsev

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.