嗨,我想知道使用Codeigniters活动记录类是否等同于在安全问题方面使用预准备语句?
<?PHP
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);
// insert one row
$name = 'one';
$value = 1;
$stmt->execute();
?>
与
$data = array(
'title' => 'My title' ,
'name' => 'My Name' ,
'date' => 'My date'
);
$this->db->insert('mytable', $data);
// Produces: INSERT INTO mytable (title, name, date) VALUES ('My title', 'My name', 'My date')
解决方法:
CI不支持预准备语句,但它确实支持Query Bindings.查询绑定和预准备语句都会阻止sql注入.但我更喜欢AR因为易用性.它还使查询更具可读性.
