Secury Преимущества PHP PDO против mysql _ * ()

Question

Существуют ли преимущества безопасности при использовании PHP PDO вместо mysql_connect () и т. Д.?

Answer 1

Не нужно даже связывать Парам, просто сделайте

$stmt = $pdoConnection->prepare('SELECT foo FROM bar WHERE baz = :baz');
$stmt->execute(array(':baz' => 1));
foreach ($stmt as $row) {
}

Это просто.

Answer 2

Нет.У PDO нет никаких преимуществ с точки зрения безопасности по сравнению с расширением MySQL (за исключением того, чему нас научил закон Мерфи, который применим к обоим).Оба будут обеспечивать безопасность ввода, экранируя одни и те же символы.

Однако у PDO есть и другие преимущества:

• Поддержка подготовленных операторов;
• Объектно-ориентированный интерфейс;
• Абстракция доступа к данным;и
• Создает более чистый код, поскольку вы можете экранировать несколько значений одновременно

Обычно они считаются наиболее важными.

Answer 3

Да, если вы используете метод bindParam() вместо конкатенации строк с mysql_real_escape_string().

Гораздо проще запомнить bindParam() внешних данных, чем помнить, чтобы каждый раз самостоятельно экранировать значение mysql_*.

Кроме того, с PDO гораздо приятнее работать.