php – 为什么我们需要在bindParam()中指定参数类型?
发布时间:2020-12-13 13:48:23 所属栏目:PHP教程 来源:网络整理
导读:我有点混淆为什么我们需要指定我们在Php中的PDO中的bindParam()函数中传递的数据类型.例如这个查询: $calories = 150; $colour = 'red';$sth = $dbh-prepare('SELECT name,colour,caloriesFROM fruitWHERE calories ? AND colour = ?');$sth-bindParam(1,$c
|
我有点混淆为什么我们需要指定我们在Php中的PDO中的bindParam()函数中传递的数据类型.例如这个查询:
$calories = 150;
$colour = 'red';
$sth = $dbh->prepare('SELECT name,colour,calories
FROM fruit
WHERE calories < ? AND colour = ?');
$sth->bindParam(1,$calories,PDO::PARAM_INT);
$sth->bindParam(2,$colour,PDO::PARAM_STR,12);
$sth->execute();
如果我没有指定第3个参数,是否存在安全风险.我的意思是,如果我只是在bindParam(): $sth->bindParam(1,$calories); $sth->bindParam(2,$colour);
使用带有类型的bindParam()可以被认为更安全,因为它允许更严格的验证,进一步防止SQL注入.但是,如果您不这样做,我不会说存在真正的安全风险,因为事实上您执行的是
prepared statement防止SQL注入而不是类型验证.一种更简单的方法是通过简单地将数组传递给execute()函数而不是使用bindParam(),如下所示:
$calories = 150;
$colour = 'red';
$sth = $dbh->prepare('SELECT name,calories
FROM fruit
WHERE calories < :calories AND colour = :colour');
$sth->execute(array(
'calories' => $calories,'colour' => $colour
));
您没有义务使用字典,您也可以像使用问号一样进行,然后将其放在数组中的相同顺序中.然而,即使这完全有效,我也建议养成使用第一个习惯的习惯,因为一旦达到一定数量的参数,这种方法就会变得混乱.为了完成,这是它的样子: $calories = 150;
$colour = 'red';
$sth = $dbh->prepare('SELECT name,calories
FROM fruit
WHERE calories < ? AND colour = ?');
$sth->execute(array($calories,$colour));
(编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |