Форум пользователей MySQL

Garik · 01.02.2012 14:30:20

Приветствую!
Решил перейти на PHP PDO и возник такой вопрос, нужно ли использовать функцию mysql_real_escape_string и (int)$id для использования переменных в запросах для защиты от инъекций или PDO сам обо всем позаботится?

Отредактированно Garik (01.02.2012 14:31:08)

rgbeast · 01.02.2012 17:41:50

Для аргументов функции execute не нужно, а если встраиваете значения в сам sql-запрос, то нужно.

Garik · 01.02.2012 19:14:18

Я правильно понял, что если делать так, то это безопасно:

$sql = "INSERT INTO table SET field1 = :var1, field2 = :var2";

$sth = $dbh->prepare($sql); 

$params = array (':var1' => $var1, ':var2' => $var2);

$sth->execute($params);

Отредактированно Garik (01.02.2012 19:16:54)

rgbeast · 01.02.2012 19:17:38

да, так безопасно

Garik · 01.02.2012 19:21:21

Ясно, спасибо!

Форум пользователей MySQL

#1 01.02.2012 14:30:20

PDO и sql-инъекции

#2 01.02.2012 17:41:50

Re: PDO и sql-инъекции

#3 01.02.2012 19:14:18

Re: PDO и sql-инъекции

#4 01.02.2012 19:17:38

Re: PDO и sql-инъекции

#5 01.02.2012 19:21:21

Re: PDO и sql-инъекции

Board footer