Почему PHP PDO ext не может автоматически избежать ввода?

Question

Вместо того, чтобы связывать каждое значение отдельным оператором, почему PHP PDO не может иметь какой-либо параметр конфигурации, чтобы просто экранировать весь ввод?

Answer 1

Если вы связываете все индивидуально, вы делаете вещи трудным путем. Не.

$dbh = PDO->new(...);
$sth = $dbh->prepare("SELECT foo FROM bar WHERE baz = ?");
$sth->execute(array("this doesn't need to be escaped!"));
...

Вы можете сделать это еще проще с помощью функции-оболочки:

function dbQuery($sql /* ... */) {
    global $dbh;
    $args = func_get_args();
    array_shift($args);
    $sth = $dbh->prepare($sql);
    $sth->execute($args);
    return $sth;
 }

 $sth = dbQuery("SELECT foo FROM bar WHERE baz = ? AND qux != ?", "blah", "blah blah");
 ...