1

我是 PDO 的新手。听说 PDO 可以防止 SQL 注入攻击。

这是我写的:

$db = new PDO('mysql:host=192.168.57.36; dbname=somedb; charset=UTF8', 'user1', 'pass1');
$sql = "SELECT * FROM table1 WHERE id = ?";
$stmt = $db->prepare($sql);
$stmt->execute(array($tid));

它是安全代码吗?我猜prepared应该做一些安全操作,但是变量被传递给它之后的查询。

我应该在执行方法之前使用 addParam 吗?

谢谢你。

4

1 回答 1

3

我应该在执行方法之前使用 addParam 吗?

不。

将变量传递给 execute 的作用几乎相同。

不过可能还有其他问题,您可以在此处阅读它们

于 2013-04-17T09:00:22.053 回答