自动转义查询中的数据

Question

有没有办法配置 mysql 或 php，以便在查询中自动转义数据值？我读过有关 PDO 的内容，例如，Zend Framework 有一些自动执行此操作的数据库适配器 - 但在服务器端，是否没有任何配置可以避免必须在代码？

谢谢，

大卫

Answer 1

是否可以进行任何配置来避免在代码中处理它？<​​/p>

不完全是，不。这已经被尝试过 - 结果是现在每个人都讨厌的可怕混乱。

没有“神奇功能”可以使查询安全 - 传递给查询的每个参数都需要进行不同的清理（例如字符串与整数）。有些东西（比如动态表和列名）根本无法清理（甚至不能使用数据库库的字符串转义方法），因此您需要将它们与现有表和列的列表进行比较。

使用 PDO 的预准备语句（或 Zend Framework 数据库函数，据我所知，其中包含 PDO）是您可以尽可能少做的最接近的方法。