请教下大神，使用了 pdo 是不是就可以无视 sql 注入了?

prepare 预处理查询语句

只要用参数绑定的话可以。很多框架应该都是这么做的。 当然不排除将来有其他绕过的方法

pdo 只是个数据库连接驱动，跟防注入有啥关系？

@hly9469 #3 还得靠参数绑定之类的

mysqli 也可以参数绑定。这个是将提交参数给数据库处理。这样才可以防止注入。
当然，以后出来 bug 一样会有注入。只是现在还没出现

@Felldeadbird #5

我话没说全

我想问的是

原来用的是 sql 拼接

现在改成了 PDO::prepare


那么在 PDO::prepare 的情况下

还需要对用户的输入内容做各种转义和过滤吗？？

是不是就可以直接入库

大部分情况可以

预处理防不了二阶注入

还有
https://stackoverflow.com/questions/134099/are-pdo-prepared-statements-sufficient-to-prevent-sql-injection/12202218#12202218
提到了一种利用字符集注入的情况

经过 prepare 后的参数，对 mysql 来说，是安全的，可以直接入库
但安全是个大问题，对 mysql 安全的数据，也许在其他地方使用，就会引起注入问题
比如 存入 mysql 中的是 js 代码，那你经过处理直接把这些 文本 用到前端，就可能引起问题
推荐一本书 白帽子讲 web 安全，里面有全面的有关示例

@Death #8
小站
先不考虑这种二阶注入

本来也没有绝对的安全的方法

@hilow #9



如果不过滤和转义的内容 PDO::prepare 后对 MySQL 是安全的

那么 xss 方面我用白名单

即前端输出的时候只留常规的<p><br><img>等需要的 html 标签

其他的一律过滤不显示或转义后显示

这样是不是就基本可以预防大部分的 sql 注入和 xss 攻击了