所以我正在研究這整個PDO的事情,當我遇到這個代碼時,我正在閱讀這篇博客教程,解釋是如果我使用帶數據綁定的PDO - 用戶將無法添加SQL注入。這個怎麼用?此PDO代碼如何保護SQL注入?
# no placeholders - ripe for SQL Injection! $STH = $DBH->("INSERT INTO folks (name, addr, city) values ($name, $addr, $city)"); # unnamed placeholders $STH = $DBH->("INSERT INTO folks (name, addr, city) values (?, ?, ?); # named placeholders $STH = $DBH->("INSERT INTO folks (name, addr, city) value (:name, :addr, :city)");
這裏是網站的鏈接我從incase那裏得到它你想閱讀它以供參考。 http://net.tutsplus.com/tutorials/php/why-you-should-be-using-phps-pdo-for-database-access/
他們只是非常草率的例子。他們甚至不會跑。他們缺少' - > query'和' - > prepare'方法調用等。 –
因爲命令和數據是分開傳輸的。 (對於那些支持它的後端/啓用時)。 – mario