一个 PHP +mysql 网站，只用 PDO 方式连接数据库，还会被拖库吗？

2017-03-23 14:42:42 +08:00

Matrixer

在网上搜索 PDO 相关信息，基本上清一色看到能避免拖库风险，最多再说一句诸如某个版本以下的 PDO 有风险，要用更高版本的。

那么假如说现在有一个网站，所有数据库操作全是基于 PDO 的，没有任何手动拼接 SQL 语句的操作，对外只开放 80 端口，不考虑内鬼往代码里加后门这种情况，是不是就不存在注入风险了？会不会依然被拖库呢？

2780 次点击

所在节点

PHP

11 条回复

UnisandK

2017-03-23 14:43:57 +08:00

然后被旁注了（逃

akira

2017-03-23 14:51:38 +08:00

只能说会好很多

Felldeadbird

2017-03-23 14:56:41 +08:00

我记得是 5.3.8 及以上版本就没问题了，并且要禁止本地模拟预处理。基本可以防止注入了。
但是还有 XSS ，其他软件端口公开，弱口令，禁用高权限账号什么的。。

ylsc633

2017-03-23 15:24:46 +08:00

如果数据库所在的服务器 ...........

surfire91

2017-03-23 16:57:53 +08:00

注入与被脱裤不能划等号

surfire91

2017-03-23 16:59:16 +08:00

接上，而且跟 PDO 没有直接关系，防注入是依赖参数绑定，这个不止 PDO 支持， mysqli 也支持。

changwei

2017-03-23 17:08:58 +08:00

入侵网站的本质是拿到 webshell 或者提权，如果还有上传漏洞或者其他方式可以写入 webshell ，或者 ssh ， 3389 的密码都是弱口令，那也不安全。

hasdream

2017-03-23 17:59:04 +08:00

不拼接 sql 能解决百分之 99 的注入

lsido

2017-03-24 02:21:01 +08:00

PDO 基本能解决注入问题，脱裤不止注入

aksoft

2017-03-24 08:35:58 +08:00

你项目的价值还没有安全的价格高。。。

lan894734188

2017-03-24 09:12:47 +08:00

比如 redis 绑定了 0.0.0.0 有漏洞的版本一样可以脱裤 pdo 只是防止注入而已

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/349735

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.