不使用PDO :: PARAM可以安全地綁定嗎？

Question

下面是一個例子查詢：

$sql = $db->prepare("INSERT INTO `accounts` 
    (`id`, `name`, `email`, `phoneNumber`, `country`, `city`, `addrLine1`, `company`, `zipCode`, `sha_pass_hash`, `ClientGroup`, `Newsletter`, `signedIN`) VALUES 
    (NULL, :name, :email, :phoneNumber, :country, :city, :addrLine1, :company, :zipCode, :sha_pass_hash, '1', '1', NOW())"); 
$sql->bindParam(':name',$name); 
$sql->bindParam(':email',$email); 
$sql->bindParam(':phoneNumber',$phoneNumber); 
$sql->bindParam(':country',$country); 
$sql->bindParam(':city',$city); 
$sql->bindParam(':addrLine1',$addrLine1); 
$sql->bindParam(':company',$company); 
$sql->bindParam(':zipCode',$zipCode); 
$sql->bindParam(':sha_pass_hash',$sha_pass_hash); 
$sql->execute(); 

由於當bindParam使用PDO::PARAM像PDO::PARAM_STR和PDO::PARAM_INT未設置就可以看到。

我的問題畢竟是： 當PDO::PARAM未設置時，該查詢是否可以SQL調用？

Answer 1

這是做正確的方式。 PARAM常數是爲了方便使用的，所以如果需要的話，您可以根據需要將您的數據轉換/轉換爲適當的類型。

有時候，這是相關的，則可能需要一定的值作爲整數插入非數值數據爲數字列時，爲了避免錯誤，但如果你準備捕獲和報告這些錯誤，你會在這裏有沒有問題。這可能是一個更好的解決方案，而不是靜靜地篡改數據。

Answer 2

在我看來，這是完全安全的，忽略的數據類型。因爲變量被綁定爲引用，並且只會在調用PDOStatement :: execute（）時進行評估。

並注意，使用PDOStatement對象時:: bindParam的整數。在PDOStatement對象改變爲字符串值::執行（）。 （用MySQL測試）。

所以我用以下命令來運行查詢，這是scape框架

/** @var string|array $query 
*/ 
public function runQuery($query){ 
    /** @var \PDOStatement $statement 
    */ 
    $result=NULL; 

    $statement=$this->con->prepare(is_array($query)? $query['query']: $query); 

    try 
    { 
     $statement->execute(is_array($query)?$query['param']:null); 
     return $statement; 
    } 
    catch (\Exception $e) 
    { 
     if($e->errorInfo[1]==1062) 
      echo PHP_EOL."Duplicate Entry. Check your unique Entry such as username, ID etc.".PHP_EOL; 
     else if ($e->errorInfo[1]==1146) 
      echo PHP_EOL."Table ".$this->getName()." Not Found".PHP_EOL; 
     else 
      echo $e->getCode().": ".$e->getMessage(); 
     return false; 
    } 
} 

在我的函數調用

的一部分，$查詢是格式化的查詢或以下格式的陣列的任刺痛這是動態格式化。

$query= ["query" => $tmpQ, 
     "param" => [$search], 
     ]