3

我第一次使用 PDO,我想知道下面的内容是否安全,我试图阅读 mysql_real_escape 的替代方法,似乎“准备”方法足够安全,有人可以为我澄清一下吗?仍然显得脆弱...

$UID = $_GET['id'];

$sth = $conn->prepare("SELECT * FROM directory WHERE user_active != '' AND ID = :uid");
$sth->execute(array(':uid' => $UID));
4

1 回答 1

2

prepare 方法不仅足够,而且比mysql_real_escape().

您的代码有效,因为$UID将使用与 SQL 语句的其余部分不同的协议进行传输。由于数据库对它的处理方式不同,因此无需转义。

于 2012-10-22T22:41:26.437 回答