0

我相当新,并且被告知准备查询的关键原因是安全性。

我的程序中有一个不接收用户输入的查询 - 它全部使用内部变量。bindParam在 PDO 查询中使用而不是简单地按原样提交查询字符​​串是否仍有实质性好处?

4

1 回答 1

1

如果将来的更新更改了变量,使其从用户输入中分配,但没有人费心更改查询怎么办?

应该避免将变量连接到 SQL 中,并始终将它们作为参数发送到 RDBMS。

于 2012-10-23T22:57:02.723 回答