php – 我可以通过没有bind_param的PDO Prepared语句完全阻止SQ

我是PDO的新手,对不起,假如你认为我在问愚笨的题目.
没有Bind_param的平凡和简朴的PDO Prepared语句：

$sql = $db->prepare('SELECT * FROM employees WHERE name = ?');
$sql->execute(array($name));
$rows = $sql->fetchAll();

与Bind_param：

$sql->bind_param("s",$name); //s means the database expects a string

我听人说：“掩护来自于行使绑定参数,而不是行使预处理赏罚语句”.我可以知道什么是绑定参数？ Bind_param是绑定参数？假如是,那么没有Bind_param的正常和简朴的PDO Prepared语句不能完全阻止SQL注入？ 最佳谜底 你说得对.绑定参数是行使？在“预筹备语句”中声明的参数.然后行使execute()绑定它们,并将它们的值作为绑定到语句的参数.

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!