doumu9019 2014-01-14 09:49
浏览 27
已采纳

使用PDO而不绑定

$stmt = $conn->prepare('SELECT * FROM users WHERE user_id = :user_id');

$stmt->execute(array(':user_id' => $_GET['user_id']));

$result = $stmt->fetchAll(PDO::FETCH_OBJ);

I'm using PDO like that, do I need to sanitise GET parameter?

I know if I do $stmt->bindParam(':user_id', $_GET['user_id'], PDO::PARAM_INT); than it is not a problem. But is my way safe?

  • 写回答

1条回答 默认 最新

  • dtyqeoc70733 2014-01-14 09:51
    关注

    Yes, it's safe. The only differences between execute and bind* are:

    • execute accepts several parameters at once, while you have to bind* each one individually
    • bind* allows you to specify the parameter type, while execute binds everything as strings

    Passing parameters to execute is mostly a convenience shorthand, it's still safe.

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

  • PHP PDO Query不读取绑定 php
    2018-10-30 10:54
    回答 2 已采纳 From docs: PDO::query — Executes an SQL statement, returning a result set as a PDOStatement ob
  • 使用PDO绑定SOMETIMES null值 mysql php
    2015-07-02 14:32
    回答 1 已采纳 Basically, you can't say "equal to null". It always has to be IS null: $sql = 'SELECT * FROM ret
  • 使用PDO准备和绑定语句的条件查询 php
    2015-10-08 08:07
    回答 1 已采纳 you can use handy PDO's feature that lets you to send array with parameters straight into execute(
  • php中mysql连接方式PDO使用详解
    2020-10-24 16:26
    在学习和使用PDO时,开发者需要特别注意异常处理、预处理语句和参数绑定以及事务管理等方面的知识,这些都是使用PDO进行高效和安全数据库操作的关键。希望本文对你掌握PHP中使用PDO连接MySQL数据库的使用有所帮助,...
  • 如何使用PDO绑定参数方法将多行文本插入mysql? mysql php
    2018-08-09 19:43
    回答 1 已采纳 I think the problem is in what you are using to display the text. On my server with PHP7 and MySQL
  • PDO多参数绑定用于准备语句 mysql php
    2016-02-10 15:20
    回答 3 已采纳 Do it at execute time? $stmt->execute(array(':name' => $name, etc....)) Using the formal
  • 使用PDO和PHP搜索数据库,而语句不显示echo mysql php
    2017-08-23 13:47
    回答 1 已采纳 You used the wrong fetch method. while ($rows = $articles->fetchAll(PDO::FETCH_ASSOC)) { ...
  • PDO存取图片等大数据对象
    2017-12-09 23:32
    u012600104的博客 什么是大数据对象?php官方给的定义是“大约4kb 或以上”,也就是说如果存储到数据库表里面的数据若大于4kb以上则称为大数据对象例如图片,视频等...pdo存储大数据对象则是直接把图片、视频等大数据对象保存到数据库表
  • php使用PDO连接数据库后查询不到数据 php 数据库
    2017-10-21 03:55
    回答 2 已采纳 用query()试一下,然后打印一下查询出来的数组是怎样的,
  • 使用PDO和变量进行MySQL更新 mysql php
    2018-02-06 16:38
    回答 2 已采纳 The syntax for UPDATE with PDO is SET col=:col Using the column name, followed by the equal sign
  • 使用PDO查询的静态函数错误 php
    2018-07-03 21:22
    回答 1 已采纳 You are trying to access $_pdo as a static variable even though it is not declared as such. This
  • php中pdo_informix
    2019-03-13 16:07
    通过`PDO::prepare()`创建预处理语句,然后使用`PDOStatement::bindParam()`或`PDOStatement::bindValue()`绑定参数,最后调用`PDOStatement::execute()`执行。 3. **执行SQL查询**:使用`PDOStatement::query()`...
  • PDO操作大数据对象
    2020-11-26 18:02
    码农老张Zy的博客 PDO操作大数据对象一般在数据库中,我们保存的都只是 int 、 varchar 类型的数据,一是因为现代的关系型数据库对于这些内容会有很多的优化,二是大部分的索引也无法施加在内容过多的...
  • PHP的PDO大对象(LOBs)
    2020-10-17 11:36
    PDO的语境下,使用PDO::PARAM_LOB类型码可以指定PDOStatement::bindParam()或PDOStatement::bindColumn()绑定参数时使用大数据类型。PDO::PARAM_LOB指示PDO将LOB数据作为PHP流来处理,利用PHP Streams API,开发者...
  • PDO的增删改查
    2019-01-14 21:31
    PDO支持多种数据类型绑定,包括整型、字符串、日期时间等,可以使用`PDO::PARAM_*`常量指定。 10. **性能优化** PDO支持持久连接,通过`PDO::ATTR_PERSISTENT`属性创建,可以减少建立新连接的开销。 通过上述...
  • Jquery加载时从后台读取数据绑定到dropdownList实例
    2020-12-09 12:22
    在本文中,我们将深入探讨如何使用jQuery从后台动态地获取数据并将其绑定到下拉列表(dropdownList)中。这是一个常见的需求,在Web开发中用于创建交互式的用户界面,特别是当选项需要根据用户或其他条件动态更新时...
  • PHP7.3的sql server PDO_DBLIB库
    2022-07-15 08:47
    - 在处理大数据时,性能可能不如使用原生的SQL Server驱动(如PDO_SQLSRV)。 - 如果在Windows环境中遇到问题,可能需要调整FreeTDS或SQL Server的配置,例如调整TDS版本或连接超时。 5. **安全最佳实践** - ...
  • PHP中PDO扩展库总结
    2017-06-13 00:13
    Json____的博客 2.PDO提供了一个数据库访问抽象层,无论你使用了什么样的数据库,都可以通过一致的 函数执行查询和获取数据,大大简化了数据库的操作,并能够屏蔽不同数据库之间的差异 使用pdo可以方便的进行跨数据库程序的开发,...
  • pdo使用参数化查询sql
    2013-07-29 15:20
    Zoe_Wang_ing的博客 使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL 指令的...唯一的区别就是前者使用一个PHP变量绑定参数,而后者使用一个值。  所以使用bindParam
  • PHP之PDO预处理语句操作数据库
    2017-12-09 18:06
    u012600104的博客 相较于前面的exec()和query()语句来说,预处理语句更加常用定义在生成网页时,许多PHP脚本通常都会执行除参数之外,其他部分完全相同的查询语句,针对这种重复执行一个查询,每次迭代使用不同的参数情况,PDO提供了...
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 乌班图ip地址配置及远程SSH
  • ¥15 怎么让点阵屏显示静态爱心,用keiluVision5写出让点阵屏显示静态爱心的代码,越快越好
  • ¥15 PSPICE制作一个加法器
  • ¥15 javaweb项目无法正常跳转
  • ¥15 VMBox虚拟机无法访问
  • ¥15 skd显示找不到头文件
  • ¥15 机器视觉中图片中长度与真实长度的关系
  • ¥15 fastreport table 怎么只让每页的最下面和最顶部有横线
  • ¥15 java 的protected权限 ,问题在注释里
  • ¥15 这个是哪里有问题啊?