使用PDO而不绑定

$stmt = $conn->prepare('SELECT * FROM users WHERE user_id = :user_id');

$stmt->execute(array(':user_id' => $_GET['user_id']));

$result = $stmt->fetchAll(PDO::FETCH_OBJ);

I'm using PDO like that, do I need to sanitise GET parameter?

I know if I do $stmt->bindParam(':user_id', $_GET['user_id'], PDO::PARAM_INT); than it is not a problem. But is my way safe?

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dtyqeoc70733 2014-01-14 09:51
关注
Yes, it's safe. The only differences between execute and bind* are:

execute accepts several parameters at once, while you have to bind* each one individually

bind* allows you to specify the parameter type, while execute binds everything as strings

Passing parameters to execute is mostly a convenience shorthand, it's still safe.
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

使用PDO而不绑定 mysql php
2014-01-14 09:49

回答 1 已采纳 Yes, it's safe. The only differences between execute and bind* are: execute accepts several para
PHP PDO Query不读取绑定值 php
2018-10-30 10:54

回答 2 已采纳 From docs: PDO::query — Executes an SQL statement, returning a result set as a PDOStatement ob
使用PDO绑定SOMETIMES null值 mysql php
2015-07-02 14:32

回答 1 已采纳 Basically, you can't say "equal to null". It always has to be IS null: $sql = 'SELECT * FROM ret
用PDO存取图片等大数据对象
2017-12-09 23:32

u012600104的博客什么是大数据对象？php官方给的定义是“大约4kb 或以上”，也就是说如果存储到数据库表里面的数据若大于4kb以上则称为大数据对象例如图片，视频等...pdo存储大数据对象则是直接把图片、视频等大数据对象保存到数据库表
使用PDO准备和绑定语句的条件查询 php
2015-10-08 08:07

回答 1 已采纳 you can use handy PDO's feature that lets you to send array with parameters straight into execute(
如何使用PDO绑定参数方法将多行文本插入mysql？ mysql php
2018-08-09 19:43

回答 1 已采纳 I think the problem is in what you are using to display the text. On my server with PHP7 and MySQL
PDO多参数绑定用于准备语句 mysql php
2016-02-10 15:20

回答 3 已采纳 Do it at execute time? $stmt->execute(array(':name' => $name, etc....)) Using the formal
PDO操作大数据对象
2020-11-26 18:02

码农老张Zy的博客 PDO操作大数据对象一般在数据库中，我们保存的都只是 int 、 varchar 类型的数据，一是因为现代的关系型数据库对于这些内容会有很多的优化，二是大部分的索引也无法施加在内容过多的...
使用PDO和PHP搜索数据库，而语句不显示echo mysql php
2017-08-23 13:47

回答 1 已采纳 You used the wrong fetch method. while ($rows = $articles->fetchAll(PDO::FETCH_ASSOC)) { ...
php使用PDO连接数据库后查询不到数据 php 数据库
2017-10-21 03:55

回答 2 已采纳用query()试一下，然后打印一下查询出来的数组是怎样的，
使用PDO和变量进行MySQL更新 mysql php
2018-02-06 16:38

回答 2 已采纳 The syntax for UPDATE with PDO is SET col=:col Using the column name, followed by the equal sign
PHP的PDO大对象(LOBs)
2021-01-02 21:11

在PDOStatement::bindParam()或PDOStatement::bindColumn())调用中使用PDO::PARAM_LOB类型码可以让 PDO使用大数据类型。 PDO::PARAM_LOB告诉PDO作为流来映射数据，以便能使用PHP Streams API来操作。从数据库中显示...
使用PDO查询的静态函数错误 php
2018-07-03 21:22

回答 1 已采纳 You are trying to access $_pdo as a static variable even though it is not declared as such. This
Jquery加载时从后台读取数据绑定到dropdownList实例
2020-12-09 12:22

代码如下: $(document).ready(function () { loadSchools(); }); function loadSchools() { var url = “@Url.Action(“GetSchools”)”; $.ajax({ url: url, type: “GET”, dataType: “json”, error: function ...
pdo中使用参数化查询sql
2013-07-29 15:20

Zoe_Wang_ing的博客在使用参数化查询的情况下，数据库服务器不会将参数的内容视为SQL指令的一部份来处理，而是在数据库完成 SQL 指令的...唯一的区别就是前者使用一个PHP变量绑定参数，而后者使用一个值。所以使用bindParam
PHP中PDO扩展库总结
2017-06-13 00:13

Json____的博客 2.PDO提供了一个数据库访问抽象层，无论你使用了什么样的数据库，都可以通过一致的函数执行查询和获取数据，大大简化了数据库的操作，并能够屏蔽不同数据库之间的差异使用pdo可以方便的进行跨数据库程序的开发，...
PHP之PDO预处理语句操作数据库
2017-12-09 18:06

u012600104的博客相较于前面的exec()和query()语句来说，预处理语句更加常用定义在生成网页时，许多PHP脚本通常都会执行除参数之外，其他部分完全相同的查询语句，针对这种重复执行一个查询，每次迭代使用不同的参数情况，PDO提供了...
【PHP 面向对象】面向对象(OOP)编程之PDO对象操作数据库知识点归纳总结（五）
2021-05-13 17:44

一纸荒凉 * Armani的博客 PDO对象PDO 是什么PDO 的特点开启 PDO扩展使用PDO连接数据库创建 PDO 对象使用PDO执行SQL语句1) exec() 方法2) query() 方法3) 预处理语句方式实战：完善登录注册功能 PDO 是什么 PDO 是 PHP Date Object（PHP 数据...
PHP--学习笔记---09数据库抽象层PDO
2020-04-18 21:54

心湖中的石子的博客 1.支持PDO的驱动及相应的数据库列表 2.创建PDO对象 PDO对象的构造方法 __construct(dsn,username,password,driver_options）第一个参数：数据源名（DSN）用来定义一个确定的数据库和必须用到的驱动程序。 PDO命名...
大数据技术之数据安全与网络安全——CMS靶场(文章管理系统)实训
2023-11-25 00:25

星川皆无恙的博客数据与网络安全作为保障大数据系统正常运行的基石，同样备受关注。今天写博客时候发现自己很久没更新数据安全与网络安全方面的内容了，于是花了点时间写一篇CMS靶场实训博客。本文通过CMS靶场实训，深入分析CMS系统...
没有解决我的问题, 去提问

悬赏问题

¥100 数字取证课程关于FAT文件系统的操作
¥15 如何使用js实现打印时每页设置统一的标题
¥15 安装TIA PortalV15.1报错
¥15 能把水桶搬到饮水机的机械设计
¥15 Android Studio中如何把H5逻辑放在Assets 文件夹中以实现将h5代码打包为apk
¥15 使用小程序wx.createWebAudioContext()开发节拍器
¥15 关于#爬虫#的问题：请问HMDB代谢物爬虫的那个工具可以提供一下吗
¥15 vue3+electron打包获取本地视频属性，文件夹里面有ffprobe.exe 文件还会报错这是什么原因呢？
¥20 用51单片机控制急停。
¥15 孟德尔随机化结果不一致

使用PDO而不绑定

1条回答 默认 最新

悬赏问题

1条回答默认最新