0

有人可以确认一下:如果我使用的是 PDO::PARAM,我不需要过滤清理来注入 mysql 数据库,因为 PDO:PARAM 已经这样做了......

4

1 回答 1

5

“PDO::PARAM”我想你的意思是将参数绑定到准备好的语句中。

是的,如果你正确使用prepared statements,你不需要做更多的事情来避免SQL注入,因为数据库有机会清楚地看到SQL语句和用户提供的值之间的差异。绑定参数不会清理或转义这些值,它通过将语句与数据分离来回避清理和转义的整个业务。

于 2012-06-29T14:46:22.130 回答