0

您好,我是 PDO 的新手,所以对 mysql_real_escape_string 感到困惑并出现错误;)

谁能帮忙,这是我的代码

if(!empty($_POST) && isset($_POST)) { 

include ('connection_pdo.php');

$dbh = new PDO("mysql:host=$host;dbname=$dbname", $user, $pass);

$source_url= mysql_real_escape_string($_POST['source_url']);
$class     = mysql_real_escape_string($_POST['class']);
$year      = mysql_real_escape_string($_POST['year']);
$date      = time();
$ip        = $_SERVER['REMOTE_ADDR'];

$insert = $dbh->prepare("
  INSERT IGNORE INTO school_students_images
            ( folder_name,  image_url,  source_url,  class, year , date , ip )
    VALUES  (:folder_name, :image_url, :source_url, :class, :year, :date, :ip)
");

$a=0;
while ($a<1000){
$a++;
$insert->execute(array(
            'folder_name'=> $name->content, //** geting from other source
            'image_url'  => $link[$a], //** geting from other source
            'source_url' => $source_url,
            'class'      => $class ,
            'year'       => $year ,
            'date'       => $date,
            'ip'         => $ip
            ));
}

它无法正常工作,但如果我没有使用它

    $source_url= ($_POST['source_url']);
    $class     = ($_POST['class']);
    $year      = ($_POST['year']);
    $date      = time();
    $ip        = $_SERVER['REMOTE_ADDR'];

它正在工作......所以我很困惑在没有mysql_real_escape_string的情况下POST到数据库中是否安全?(默认情况下 PDO 是否提供任何安全性?)或者我在这方面犯了一些错误......请帮助

4

3 回答 3

11

是的,PDO 会自动转义您的数据,因此您不需要使用mysql_real_escape_string. 例如,请参见此处。

于 2012-05-25T07:38:53.617 回答
4

mysql_real_escape_string需要mysql通过mysql_connect以前的呼叫建立一个活动连接......所以是的,它不会工作。

无论如何,PDO 都会自动为您执行此操作

于 2012-05-25T07:39:32.717 回答
2

使用准备好的语句,您不必转义变量。驱动程序会根据您在下面使用的数据库自动为您执行此操作。实际上你不能自己逃避它,因为这会双重逃避它。

于 2012-05-25T07:39:30.237 回答