我在“过滤输入,转义
输出”之前已经阅读过,但是当我使用
PHP使用PDO时,过滤输入是否真的需要?我以为PDO我不需要过滤输入,因为准备的语句负责
sql注入.我认为“转义
输出”仍然有效,但是“过滤器输入”是否仍然有效?
是的,它仍然有效.
过滤不是为了防止安全漏洞,而是关于不用垃圾填充您的数据库.如果你期待一个日期,请确保它至少在存储之前看起来像一个日期.
转义输出是关于防止安全漏洞(即XSS或跨站脚本).
所以是的,两者都是非常重要的,与sql Injection完全无关(尽管相当数量的开发人员仍然将筛选与SQL查询的转义混淆,因此仍然可能受到漏洞的影响)
