這是否足夠安全？

Question

我是新與PDO，我只是想知道如果這個代碼：

$string = $_POST['string']; 
$matches = $SQL->prepare("SELECT * FROM `users` WHERE `name` LIKE ?"); 
$matches->execute(array('%'.$string.'%')); 

foreach($matches->fetchAll() as $match) { 
    echo $match["name"]."<br/>"; 
} 

足夠安全？我只是不能確定和防止黑客入侵。 此代碼將從數據庫中提取所有users，其名稱與$string變量中的名稱相同。

隨意張貼您的解決方案也！

Answer 1

在執行查詢之前，PDO將自動轉義給它的任何輸入，所以就SQL注入攻擊而言，它是安全的。