Question

Новое в PDO - нужно ли мне экранировать аргументы, которые я передаю в подготовленный оператор PDO (например, следующий):

$_GET['name'] = "O'Brady";

$sth = $dbh->prepare("INSERT INTO users SET name = :name");
$sth->bindParam(':name', $_GET['name']);
$sth->execute();

Emil Vikström · Answer 1 · 20 мая 2010

Нет. Также вам не нужны кавычки вокруг текстовых строк. Просто передайте переменные такими, какие они есть, а драйвер MySQL позаботится обо всем остальном.

Jeremy L · Answer 2 · 20 мая 2010

PDO построит запрос безопасным способом, поэтому вам не нужно будет избегать его .

Побег аргументов для заявлений PDO?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Побег аргументов для заявлений PDO?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов