我是编写 PDO 代码的新手,并试图将我的网站代码从 mysql 转移到 PDO。我阅读了很多关于绑定值的教程,但所有值都是从数组或稳定的数组中获取的,并且还注意到 mysql_real_escape_string 在 PDO 中被替换为引号。
现在,当我将代码从 mysql 重写为 PDO 时,它试图绑定 $_REQUEST['id'] 的值并且代码返回一个空值。
$cat_id=$DB->quote($_REQUEST['id']);
$sql_cat='select * from '.$prev.'team where id = ? ';
$re_cat=$DB->prepare($sql_cat);
$re_cat->bindValue(1, $cat_id);
$re_cat->execute();
$d_cat=$re_cat->fetch(PDO::FETCH_ASSOC);
$cat_name=$d_cat['title'];
$league = $d_cat['leagueID'];
echo $cat_name;
这里的问题是:如果我从 $_REQUEST 中删除引号并仅使用 bindValue,那么 SQL 注入是否足够安全?