使用Medoo清理用户输入

Question

Medoo是一个PHP数据库框架。有人知道我在使用insert()函数之前是否需要清理用户输入吗？在主页(http://medoo.in/)上的“为什么是medoo?”部分，然后它只是简单地说“防止SQL注入”，但我不知道这是否意味着它为您做了它，或者它只是更容易做到这一点。

有人知道吗？我看起来更有可能是为你做的，但我更愿意确定。

Answer 1

看起来他们正在过滤掉SQL注入，所以你不用担心。他们已将其列为其关键特性之一

Answer 2

快速浏览一下代码，这个类基本上是一个用于多种数据库类型的CRUD。

它们使用quote()方法来转义用户输入。

虽然PHP建议

如果您使用quote()来构建SQL语句，强烈建议您使用PDO:: prepare ()来准备带有绑定参数的SQL语句，而不要使用PDO::quote()来将用户输入插入到SQL语句中。带有绑定参数的预准备语句不仅更可移植、更方便、不受SQL注入的影响，而且执行速度通常比插值查询快得多，因为服务器和客户端都可以缓存已编译形式的查询。

Answer 3

实际上，从代码来看，他们似乎没有使用PDO prepare方法来构造代码，这意味着即使使用引号，也可能使用奇怪的宽字符进行黑客攻击。请参阅https://security.stackexchange.com/questions/9908/multibyte-character-exploits-php-mysql