前端之家收集整理的这篇文章主要介绍了
PHP的DateTime类是否从SQL注入中转义日期,
前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
通常,我使用PDO的预处理语句,类型转换为(int)或PDO :: quote()以防止
sql注入.对于此应用程序,我需要在将日期
添加到
查询之前使用
@L_
502_0@
修改日期.我是否需要采取额外措施来防止
sql注入,或者我是否安全?谢谢
$date = new DateTime($_GET['suspect_user_provided_date']);
$date->add(new DateInterval('P1D'));
$sql='SELECT * FROM table WHERE date<"'.$date->format('Y-m-d').'"';
DateTime对象是否安全无关紧要.您应该转义要传递给
查询的数据,而不是依赖于提供的库的安全性.如果更改实现,则无需关心新实现是否安全.你应该总是逃避.否则你会尝试回答 – 并记住 – 每个
函数 – 对
sql来说是否安全?对于HTML?对于CSV?对于http /
邮件标题?因为……不要!发送
查询的
代码行应该对DateTime实现一无所知,是否安全
