hyp*_*hen 5 php mysql pdo sql-injection prepared-statement
如果我使用 PDO 准备好的语句,并且我有一个如下查询:
SELECT cat_name, cat_id_PK, cat_amount
FROM categories
WHERE month=? AND is_recurring = '0'
ORDER BY cat_name ASC;
$results->bindValue(1, $cur_month);
我还应该绑定 is_recurring 子句的值吗?“0”是硬编码的,我认为这不会让我容易受到 SQL 注入的攻击,但我想确认一下。我注意到在我正在查看的教程中,即使它不是传递的变量,它们也确实绑定了该值,这让我想知道我是否做得正确。