Kohana SQL 准备语句安全

Question

在 Kohana 准备好的声明文档上，它指出

尽管所有参数都被转义以防止 SQL 注入，但验证/清理您的输入仍然是一个好主意。

从我读到的准备好的语句来看，我的印象是绑定参数可以防止 SQL 注入。如果不是这种情况，在绑定变量之前我应该​​使用什么清理/转义方法？

Answer 1

我认为当他们说“验证/清理仍然是一个好主意”时，他们的意思是使用 Valid 类或/和 Validation 类......以确保您在数据库中插入正确的数据。

有关 Kohana 验证的更多信息：http://kohanaframework.org/3.2/guide/kohana/安全/验证

更新：

您还应该研究 XSS：http://kohanaframework.org/3.2/guide/kohana/security/xss

Answer 2

Kohana 为不同的数据库类型提供了数据库抽象。并非所有具体数据库都可能有准备好的语句，因此它们将被模拟。特定数据库的一些本机转义功能甚至可能被破坏。

您永远不会知道，不仅有一层安全性总是好的。

另一层是您的脚本实际上接收到有意义的数据。例如，名字字符串大小为 8 兆字节。无论数据库用它做什么都没有意义。