-1
我是PDO的新手。正如我聽說PDO可以防止SQL注入攻擊。這段代碼是否使用PDO安全?
這裏是我寫:
$db = new PDO('mysql:host=192.168.57.36; dbname=somedb; charset=UTF8', 'user1', 'pass1');
$sql = "SELECT * FROM table1 WHERE id = ?";
$stmt = $db->prepare($sql);
$stmt->execute(array($tid));
它是一個安全的代碼?我想準備應該做一些安全的行爲,但變量傳遞給後面的查詢。
我在使用addParam之前執行方法?
謝謝。
爲了您的安全代碼的問題:http://stackoverflow.com/questions/134099/are-pdo-prepared-statements-sufficient-to-防止-SQL注入 –