那些遇到过的问题

PDO更新查询安全吗?

Lia*_*iam -4 php mysql pdo

我试图了解和阅读PDO.

我刚刚编写了以下内容并且它工作正常,但我想知道它是否安全,因为我没有逃避任何变量,它是否仍然要求我逃避这些?

// Get Post Variables 
$first_name = $_POST['first_name'];
$surname = $_POST['surname'];
$email_addr = $_POST['email_addr'];
$user_type = $_POST['user_type'];


// query
$sql = "UPDATE users
    SET first_name=?, surname=?, email_addr=?, user_age=?, user_type=?
    WHERE user_id=?";
$q = $conn->prepare($sql);
$q->execute(array($first_name,$surname,$email_addr,$user_age,$user_type,$uid));
Run Code Online (Sandbox Code Playgroud)

PLP*_*ers 5

prepare()语句中不需要转义变量,因为它是使用这些语句的原因之一,如文档中所示:

调用PDO :: prepare()和PDOStatement :: execute()(...)有助于通过消除手动引用参数的需要来防止SQL注入攻击.

归档时间:

查看次数:

136 次

最近记录:

12 年,6 月 前
相关归档
我目前使用哪个版本的CodeIgniter? 233
使用Composer的开发/生产开关时如何正确部署? 159
在同一MySQL表中复制/复制记录 84
MySQL Update字段设置IF NULL或其他值 30
实例化一个对象而不在PHP中调用它的构造函数 19
查找并处理重复的用户 16
PHP Laravel:无法建立连接,因为目标计算机主动拒绝它 14
Python MySQLdb更新查询失败 13
PHP缓存 - 在数据库中保存或创建文件更快吗? 10
tomcat 7.0.42 pooling,hibernate 4.2,mysql rock solid autoreconnect解决方案 10
难疑归档
如果我有jQuery背景,"在AngularJS中思考"? 4518
在JavaScript中创建GUID/UUID? 3915
@staticmethod和@classmethod有什么区别? 3360
一次捕获多个异常? 2015
打印Java数组最简单的方法是什么? 1852
按值复制数组 1638
UNION和UNION ALL有什么区别? 1350
Git push需要用户名和密码 1327
有效地使用Git和Dropbox? 1117
获取Oracle中所有表的列表? 1073