1. PTT
  2. PHP

关于pdo的用法

楼主: tas72732002 (葱头)   2014-04-09 15:17:01
请问一下各位大大~
如果使用pdo但不使用bindParam将值带入, 是否会造成sql injection??
另如果直接使用
$this->pdo->query('select * from test where id=$id');
这样会有sql injection吗? query()会滤掉特殊字符吗?
作者: MOONRAKER (㊣牛鹤鳗毛人)   2014-04-09 16:05:00
不会,所以你要自己保证$id为简单数字。
作者: johnny1972 (傻蛋)   2014-04-09 20:27:00
1:是,2:会,3:不会
作者: zeroghost (小鬼)   2014-04-12 10:50:00
你用的只能是mysql "select *from `test`"的状况唷通常有where或是insert会用prepare()搭配execute()prepare()有防,如果照你的写法要用quote()可以翻翻php manual里面有详细的教学
继续阅读
[请益] curl网页问题forptt[请益] 请教php多层阵列比对并更新NdhuOD[请益] PHP CodeIgniter 新手问题请教missylive[讨论] 使用framework或自行开发网页架构zeroghost[请益] 关于$_GET的一些问题isDray[请益] 网站应该是被植入东西的感觉fowei[请益] 用preg_match_all找patternjacobcan118Re: [请益]第三方验证会员登入功能forptt[请益]第三方验证会员登入功能forptt[分享] PHP简易框架分享bb74102

Links booklink

Contact Us: admin [ a t ] ucptt.com