關於pdo的用法~消失

看板PHP作者時間11年前 (2014/04/09 15:17), 編輯推噓2(204)
留言6則, 3人參與, 最新討論串1/1
請問一下各位大大~ 如果使用pdo但不使用bindParam將值帶入, 是否會造成sql injection?? 另如果直接使用 $this->pdo->query('select * from test where id=$id'); 這樣會有sql injection嗎? query()會濾掉特殊字元嗎? -- 感謝大家的推文 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 203.69.59.91 ※ 文章網址: http://www.ptt.cc/bbs/PHP/M.1397027823.A.896.html
04/09 16:05, , 1F
不會,所以你要自己保證$id為簡單數字。
04/09 16:05, 1F
04/09 20:27, , 2F
1:是,2:會,3:不會
04/09 20:27, 2F
04/12 10:50, , 3F
你用的只能是mysql "select *from `test`"的狀況唷
04/12 10:50, 3F
04/12 10:51, , 4F
通常有where或是insert會用prepare()搭配execute()
04/12 10:51, 4F
04/12 10:58, , 5F
prepare()有防,如果照你的寫法要用quote()
04/12 10:58, 5F
04/12 10:59, , 6F
可以翻翻php manual裡面有詳細的教學
04/12 10:59, 6F
更多 tas72732002 的文章
文章代碼(AID): #1JHFFlYM (PHP)