2012-10-23 35 views
0

我是相當新的,並被教導,準備查詢的關鍵理性是安全的。我應該使用bindParam進行沒有用戶輸入的查詢嗎?

我在我的程序中沒有收到任何用戶輸入的查詢 - 它都使用內部變量。在PDO查詢中使用bindParam還有什麼實際好處,而不是簡單地按原樣提交查詢字符​​串?

+0

代碼可讀性可能是一個想到的問題。 – favoretti

+0

我想這仍然是一個好習慣 – Ibu

+0

你需要解釋你的「內部變量」的概念。如果這些都是固定值,那麼準備查詢就沒有意義了。如果是查詢現有數據庫內容的翻新值,那麼可能存在二次SQL困境的空間。 – mario

回答

1

如果將來的更新改變了變量,以便它從用戶輸入分配,但沒有人打擾改變查詢,該怎麼辦?

應該避免不斷串聯變量到SQL和總是它們發送到RDBMS作爲參數。

相關問題