PDO操作以及PDO封装MYSQL类后的操作

有位热心的网友苦于“TP3.1,高级的命名空间使用极不习惯,而且跨模块调用也是个迷。要迁移一个项目,需要付出太大的代价了。”其实封装起来的好处就是跨域、跨模块使用都很EASY!   <?php  /**  * auther soulence  * 调用数据类文件  * sccscc 2016/06/12  */  class DBConnect&hellip

标签:

ThinkPHP 3.1的PDO封装:ThinkPHP 3.1中的SQL注入漏洞分析

  花了一些时间了解到ThinkPHP 3.1框架,其官方网站上对其描述得相当不错,但随着我阅读其代码,事实并不是想象的那么好,特别是PDO封装这一部分,处理得相当糟糕,远不如使用原生态的PDO安全, 只是简单地使用addslashes处理用户提交的数据,并没有使用到PDO的精髓部分:prepare预处理和参数化查询。这样其实带来的SQL注入的风险更大,建议对安全性要求较高的环境,不要使用adds
分页:«1»