使用PDO而不绑定

$stmt = $conn->prepare('SELECT * FROM users WHERE user_id = :user_id');

$stmt->execute(array(':user_id' => $_GET['user_id']));

$result = $stmt->fetchAll(PDO::FETCH_OBJ);

I'm using PDO like that, do I need to sanitise GET parameter?

I know if I do $stmt->bindParam(':user_id', $_GET['user_id'], PDO::PARAM_INT); than it is not a problem. But is my way safe?

写回答
好问题 0 提建议
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dtyqeoc70733 2014-01-14 01:51
关注
Yes, it's safe. The only differences between execute and bind* are:

execute accepts several parameters at once, while you have to bind* each one individually

bind* allows you to specify the parameter type, while execute binds everything as strings

Passing parameters to execute is mostly a convenience shorthand, it's still safe.
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报
编辑

预览
轻敲空格完成输入
显示为

卡片

标题

链接
评论

按下Enter换行，Ctrl+Enter发表内容

编辑

预览

报告相同问题？

关注问题

PHP PDO Query不读取绑定值 php
2018-10-30 02:54

回答 2 已采纳 From docs: PDO::query — Executes an SQL statement, returning a result set as a PDOStatement ob
使用PDO绑定SOMETIMES null值 mysql php
2015-07-02 06:32

回答 1 已采纳 Basically, you can't say "equal to null". It always has to be IS null: $sql = 'SELECT * FROM ret
使用PDO准备和绑定语句的条件查询 php
2015-10-08 00:07

回答 1 已采纳 you can use handy PDO's feature that lets you to send array with parameters straight into execute(
php中mysql连接方式PDO使用详解
2020-10-24 08:26

在学习和使用PDO时，开发者需要特别注意异常处理、预处理语句和参数绑定以及事务管理等方面的知识，这些都是使用PDO进行高效和安全数据库操作的关键。希望本文对你掌握PHP中使用PDO连接MySQL数据库的使用有所帮助，...
如何使用PDO绑定参数方法将多行文本插入mysql？ mysql php
2018-08-09 11:43

回答 1 已采纳 I think the problem is in what you are using to display the text. On my server with PHP7 and MySQL
PDO多参数绑定用于准备语句 mysql php
2016-02-10 07:20

回答 3 已采纳 Do it at execute time? $stmt->execute(array(':name' => $name, etc....)) Using the formal
使用PDO和PHP搜索数据库，而语句不显示echo mysql php
2017-08-23 05:47

回答 1 已采纳 You used the wrong fetch method. while ($rows = $articles->fetchAll(PDO::FETCH_ASSOC)) { ...
用PDO存取图片等大数据对象
2017-12-09 15:32

u012600104的博客什么是大数据对象？php官方给的定义是“大约4kb 或以上”，也就是说如果存储到数据库表里面的数据若大于4kb以上则称为大数据对象例如图片，视频等...pdo存储大数据对象则是直接把图片、视频等大数据对象保存到数据库表
php使用PDO连接数据库后查询不到数据 php 数据库
2017-10-20 19:55

回答 2 已采纳用query()试一下，然后打印一下查询出来的数组是怎样的，
使用PDO和变量进行MySQL更新 mysql php
2018-02-06 08:38

回答 2 已采纳 The syntax for UPDATE with PDO is SET col=:col Using the column name, followed by the equal sign
使用PDO查询的静态函数错误 php
2018-07-03 13:22

回答 1 已采纳 You are trying to access $_pdo as a static variable even though it is not declared as such. This
php中pdo_informix
2019-03-13 08:07

通过`PDO::prepare()`创建预处理语句，然后使用`PDOStatement::bindParam()`或`PDOStatement::bindValue()`绑定参数，最后调用`PDOStatement::execute()`执行。 3. **执行SQL查询**：使用`PDOStatement::query()`...
PDO操作大数据对象
2020-11-26 10:02

码农老张Zy的博客 PDO操作大数据对象一般在数据库中，我们保存的都只是 int 、 varchar 类型的数据，一是因为现代的关系型数据库对于这些内容会有很多的优化，二是大部分的索引也无法施加在内容过多的...
PHP的PDO大对象(LOBs)
2020-10-17 03:36

在PDO的语境下，使用PDO::PARAM_LOB类型码可以指定PDOStatement::bindParam()或PDOStatement::bindColumn()绑定参数时使用大数据类型。PDO::PARAM_LOB指示PDO将LOB数据作为PHP流来处理，利用PHP Streams API，开发者...
PDO的增删改查
2019-01-14 13:31

PDO支持多种数据类型绑定，包括整型、字符串、日期时间等，可以使用`PDO::PARAM_*`常量指定。 10. **性能优化** PDO支持持久连接，通过`PDO::ATTR_PERSISTENT`属性创建，可以减少建立新连接的开销。通过上述...
Jquery加载时从后台读取数据绑定到dropdownList实例
2020-12-09 04:22

在本文中，我们将深入探讨如何使用jQuery从后台动态地获取数据并将其绑定到下拉列表（dropdownList）中。这是一个常见的需求，在Web开发中用于创建交互式的用户界面，特别是当选项需要根据用户或其他条件动态更新时...
PHP7.3的sql server PDO_DBLIB库
2022-07-15 00:47

- 在处理大数据时，性能可能不如使用原生的SQL Server驱动（如PDO_SQLSRV）。 - 如果在Windows环境中遇到问题，可能需要调整FreeTDS或SQL Server的配置，例如调整TDS版本或连接超时。 5. **安全最佳实践** - ...
从零开始：PHP基础教程系列-第12篇：数据库基础与PDO使用
2024-12-16 01:31

奥顺的博客通过使用绑定参数，用户输入的内容不会直接嵌入到SQL语句中，从而提高了安全性。在本篇文章中，我们介绍了数据库的基础知识及如何使用PDO进行数据库操作。掌握PDO的使用将使您能够安全、高效地与数据库进行交互。...
PHP中PDO扩展库总结
2017-06-12 16:13

Json____的博客 2.PDO提供了一个数据库访问抽象层，无论你使用了什么样的数据库，都可以通过一致的函数执行查询和获取数据，大大简化了数据库的操作，并能够屏蔽不同数据库之间的差异使用pdo可以方便的进行跨数据库程序的开发，...
pdo中使用参数化查询sql
2013-07-29 07:20

Zoe_Wang_ing的博客在使用参数化查询的情况下，数据库服务器不会将参数的内容视为SQL指令的一部份来处理，而是在数据库完成 SQL 指令的...唯一的区别就是前者使用一个PHP变量绑定参数，而后者使用一个值。所以使用bindParam
没有解决我的问题, 去提问

使用PDO而不绑定

1条回答 默认 最新

1条回答默认最新