sql >> Database teknologi >  >> RDS >> Mysql

Korrekt måde at rense input i MySQL ved hjælp af PDO

Ideen med forberedte udsagn er, at du ikke sammenkæder variable, i stedet binder du parametrene. Forskellen er, at variablen aldrig bliver indsat i SQL'en, snarere håndterer MySQL-motoren variablen separat, hvilket ikke giver mulighed for SQL-injektion. Dette har også den ekstra bonus, at der ikke kræves escape eller forbehandling af variablen.

$query = $db->prepare("SELECT password FROM login WHERE username = :username");
$query->execute(array(':username' => $username));


  1. Symfony2, Doctrine2, MySql, se tabeller

  2. kørende gennemsnit i mysql

  3. Vis SQLite-forespørgselsresultater ved hjælp af lodret output

  4. Hvordan opdeler jeg en afgrænset streng i SQL Server uden at oprette en funktion?