PDO - 需要指定bindParam或在数组工作中分配它们

I have been using the following style code:

$query = "INSERT INTO contact_messages (fromEmail, message) VALUES (:fromEmail, :message)"; 

// Create bound values
$query_params = array(  
    ':fromEmail' => $contactFrom, 
    ':message' => $contactMessage
); 

try 
{ 
    $stmt = $db->prepare($query); 
    $result = $stmt->execute($query_params); 
    $return['messageSent'] = true;
} 
catch(PDOException $ex) 
{ 
die
}

I thought that this was safe, but just seen i haven't specified that i am binding the parameters? or is what im doing still safe enough?

Also at this point, should I still be using e.g htmlPurifier on the input? or is the PDO bound parameters enough?

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

2条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dougao1106 2014-08-04 21:17
关注
Yes it is still safe but binding parameter is safer.

The difference is when you pass the array to execute() all the params are treated as strings.

Whereas when you bind params you are being explicit meaning there is no way to execute with the wrong data type.

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

PHP PDO - 使用bindParam INSERT INTO不起作用 mysql php
2017-08-11 11:08

回答 3 已采纳 Answering Question 1: PHP PDO - INSERT INTO with bindParam does not work If you're inserting
PDO - 在我的情况下，那个大的bindValue和bindParam php sql
2018-07-08 11:18

回答 1 已采纳 I think you should send a single id such as 1 or 4 in your $ids parameter. Then edit your query a
php PDO bindParam（）width 2维数组 - foreach循环 php
2015-10-14 09:02

回答 1 已采纳 Nope, this solution is not good. It's inconvenient and error-prone. Yes, there is a much better so
PHP--学习笔记---09数据库抽象层PDO
2020-04-18 21:54

心湖中的石子的博客 1.支持PDO的驱动及相应的数据库列表 2.创建PDO对象 PDO对象的构造方法 ...PDO命名管理为PDO驱动程序名，后面加个冒号，在后面是可选的驱动陈旭的数据库连接变量信息，如主机名、端口、数据库名如： mysql：h...
PDO - 将大型数组插入MySQL数据库 database mysql php sql
2017-02-14 18:03

回答 2 已采纳 While I still doubt that transactions and/or batched inserts are a viable solution to your resourc
PDO-> bindParam，PDO-> bindValue和PDO-> closeCursor mysql php
2010-09-16 09:28

回答 2 已采纳 The 'recurring' bindParam() here is not really necessary: $thread = 0; $modThread->bindParam('
PHP / PDO - 循环数组并将其添加到数据库的最佳方法 mysql php
2017-04-25 12:44

回答 1 已采纳 You could drop the foreach statement and move your logic directly in the while loop: $header = tr
PHP中PDO扩展库总结
2017-06-13 00:13

Json____的博客一.PDO作用 1.PDO(php data object)扩展类库为php访问数据库定义了轻量级的，一致性的接口 2.PDO提供了一个数据库访问抽象层，无论你使用了什么样的数据库，都可以通过一致的函数执行查询和获取数据，大大简化了...
php - PDO：bindParam令牌语法问题 mysql php
2012-08-05 14:06

回答 1 已采纳 Do not use single quotes to delimit parameters in a prepared statement. It's not necessary (that's
PDO - array_map返回键中的对象ID php
2018-04-24 12:18

回答 3 已采纳 I will do a bit easier code like below:- $fianl_array = array_combine(array_column($temp,'id'),$t
如何在PDO包装器中返回execute值[重复] php
2019-06-01 23:21

回答 1 已采纳 Since PDOStatement::execute returns true/false and your current run method is returning a PDOState
【PHP 面向对象】面向对象(OOP)编程之PDO对象操作数据库知识点归纳总结（五）
2021-05-13 17:44

一纸荒凉 * Armani的博客 PDO对象PDO 是什么PDO 的特点开启 PDO扩展使用PDO连接数据库创建 PDO 对象使用PDO执行SQL语句1) exec() 方法2) query() 方法3) 预处理语句方式实战：完善登录注册功能 PDO 是什么 PDO 是 PHP Date Object（PHP 数据...
在函数pdo中输入数组 mysql php
2014-09-27 19:39

回答 1 已采纳 You have an error in your syntax UPDATE syntax is always like: UPDATE tablename SET columname = '
bindParam和bindValue的区别以及在Yii2中的使用
2017-06-28 17:04

pengmingdong的博客对于那些内存中的大数据块参数，处于性能的考虑，应优先使用前者。根据id查询一条数据，并对id进行过滤：$id = 1; $result = Yii::$app->db->createCommand("select * from product where id=:id
PDO常用方法详解
2017-07-24 17:21

夏雪爱上冬花的博客 PDO 是一个“数据库访问抽象层”，作用是统一各种数据库（MySQL、MSSQL、Oracle、DB2、PostgreSQL……）的访问接口，能轻松的在不同的数据库之间完成切换，使得数据库间的移植容易实现。开启PDO 在pho.ini中查找...
PHP之PDO预处理语句操作数据库
2017-12-09 18:06

u012600104的博客相较于前面的exec()和query()语句来说，预处理语句更加常用定义在生成网页时，许多PHP脚本通常都会执行除参数之外，其他部分完全相同的查询语句，针对这种重复执行一个查询，每次迭代使用不同的参数情况，PDO提供了...
15.php数据库抽象层PDO(四)
2016-05-27 09:27

Chris-Chang的博客不管是使用PDO对象中的query()方法，还是使用prepare()和execute()等方法结合的预处理语句，执行select查询都会得到相同的结果集对象PDOStatement.都需要通过PDOStatement类对象中的方法将数据遍历出来。 1. 获取...
php pdo类总结
2017-03-03 16:14

InterestingFigure的博客 1、PHP PDO连接连接管理 $dbms='mysql'; //数据库类型 $host='localhost'; //数据库主机名 $dbName='test'; //使用的数据库 $user='root'; //数据库连接用户名 $pass=''; //对应的密码 $dsn="$dbms:host=$host...
数据库抽象层PDO总结
2016-12-08 20:50

Colin_me的博客这里只介绍将参数嵌入到构造函数的方法，另外2种：将参数存放在文件中，引用php.ini文件不作介绍 $dsn = 'mysql:dbname=testdb;host=127.0.0.1'; $user = 'dbuser'; $password = 'dbpass'; try{ $dbh...
php的mysql\mysqli\PDO(三)PDO
2016-04-03 21:42

weixin_34111790的博客 PDO是一种数据库抽象层，不止可以访问mysql还可以访问其他数据库。一、__construct() PDO::__construct ( string $dsn [, string $username [, string $password [, array$driver_options ]]] )...
没有解决我的问题, 去提问

悬赏问题

¥20 数学建模，尽量用matlab回答，论文格式
¥15 昨天挂载了一下u盘，然后拔了
¥30 win from 窗口最大最小化，控件放大缩小，闪烁问题
¥20 易康econgnition精度验证
¥15 msix packaging tool打包问题
¥28 微信小程序开发页面布局没问题，真机调试的时候页面布局就乱了
¥15 python的qt5界面
¥15 无线电能传输系统MATLAB仿真问题
¥50 如何用脚本实现输入法的热键设置
¥20 我想使用一些网络协议或者部分协议也行，主要想实现类似于traceroute的一定步长内的路由拓扑功能

PDO - 需要指定bindParam或在数组工作中分配它们

2条回答 默认 最新

悬赏问题

2条回答默认最新