把 PDO::quote 的结果去掉两边的单引号，其结果和 mysqli_real_escape_string 等效么，安全么？ - V2EX

Home Sign Up Sign In

This topic created in 3151 days ago, the information mentioned may be changed or developed.

PDO::quote 的字符串有个麻烦就是两边带上了单引号，现在我在处理一些历史遗留代码，所以直接写了个函数类似这样：
function escape($str)
{
global $pdo;
return substr($pdo->quote($str), 1, -1);
}

然后实际这样用：
$id=$_GET['id'];
$id=escape($id);
$sql="SELECT * FROM t WHERE id={$id}";
...

这样安全么?

Supplement 1 · Oct 13, 2017

写错了，是这样的：$sql="SELECT * FROM t WHERE id='{$id}'";

7 replies • 2017-10-13 14:35:20 +08:00

1

gouchaoer

OP

Oct 12, 2017

mysqli_real_escape_string 就不带两边的单引号，不过这里用的是 PDO

2

WuwuGin

Oct 12, 2017 via Android

pdo queto 就是添加单引号和处理转义特殊字符的，单引号里面的内容不会被 PHP 执行。你这样去掉等于没有使用此函数。
如果想避免注入，使用 prepare 函数，在需要执行用户输入的参数的时间，使用 bindParam 或者 bindValue。

3

2ME

Oct 13, 2017

prepare 预处理 bind 绑定设置参数 PDO::PARAM_INT

4

gouchaoer

OP

Oct 13, 2017

@WuwuGin 写错了，是这样的：$sql="SELECT * FROM t WHERE id='{$id}'";

5

gouchaoer

OP

Oct 13, 2017

我知道 bind 好，但是历史代码是那样的，你 bind 要改很多逻辑，我没办法保证不出问题，还是对输入消毒改动小

6

gouchaoer

OP

Oct 13, 2017

https://stackoverflow.com/questions/8341740/how-to-use-pdoquote-without-getting-string-surrounded-by-quotes
没人能说清这么做好不好

7

WuwuGin

Oct 13, 2017 via Android

@gouchaoer 其实我觉得你这样是符合 queto 函数的最终目的的。但是防注入不光靠 queto 啊。

About · Help · Advertise · Blog · API · FAQ · Solana · 2820 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 39ms · UTC 04:31 · PVG 12:31 · LAX 21:31 · JFK 00:31
♥ Do have faith in what you're doing.