1. PTT
  2. PHP

關於pdo的用法

作者: tas72732002 (蔥頭)   2014-04-09 15:17:01
請問一下各位大大~
如果使用pdo但不使用bindParam將值帶入, 是否會造成sql injection??
另如果直接使用
$this->pdo->query('select * from test where id=$id');
這樣會有sql injection嗎? query()會濾掉特殊字元嗎?
作者: MOONRAKER (㊣牛鶴鰻毛人)   2014-04-09 16:05:00
不會,所以你要自己保證$id為簡單數字。
作者: johnny1972 (傻蛋)   2014-04-09 20:27:00
1:是,2:會,3:不會
作者: zeroghost (小鬼)   2014-04-12 10:50:00
你用的只能是mysql "select *from `test`"的狀況唷通常有where或是insert會用prepare()搭配execute()prepare()有防,如果照你的寫法要用quote()可以翻翻php manual裡面有詳細的教學
繼續閱讀
[請益] curl網頁問題forptt[請益] 請教php多層陣列比對並更新NdhuOD[請益] PHP CodeIgniter 新手問題請教missylive[討論] 使用framework或自行開發網頁架構zeroghost[請益] 關於$_GET的一些問題isDray[請益] 網站應該是被植入東西的感覺fowei[請益] 用preg_match_all找patternjacobcan118Re: [請益]第三方驗證會員登入功能forptt[請益]第三方驗證會員登入功能forptt[分享] PHP簡易框架分享bb74102

Links booklink

Contact Us: admin [ a t ] ucptt.com