Автор оригинала: David Wong.
Зачем использовать PDO
Разумное использование PDO может в корне исключить внедрение SQL
Некоторые конфигурации параметров
PDO:: Значение параметра MYSQL_ATTR_INIT_COMMAND заключается в отправке команды инициализации перед запросом sql: set names utf8mb4
PDO:: ATTR_EMULATE_PREPARES указывает, следует ли использовать локальную подготовку к моделированию вместо локальной симуляции, поэтому установите значение false
Лучшие практики:
Установите значение ATTR_EMULATE_PREPARES в значение false Установите PDO:: MYSQL_ATTR_INIT_COMMAND в значение true, и PDO устанавливает кодировку по умолчанию, используя имена наборов utf8 Используйте более высокую версию PHP ( php 7+) Используйте более высокую версию MySQL Используйте разумную кодировку, откажитесь от кодировки GBK, предотвратите широкое внедрение символов
Оригинал: “https://developpaper.com/accumulation-of-pdo-injection-prevention/”