简单的PDO php建议

时间:2012-05-08 10:07:08

标签: php pdo

当在PHP中使用PDO时,我有点困惑,需要花很长时间来使用准备和绑定。

在下面的代码中,我应该使用prepare吗?如果我使用此代码,$ name是否会被转义,或者我是否需要使用mysql_real_escape_string?

$stmt = $db->query("UPDATE matches SET playerStatus = 4  WHERE name='$name' ");

由于

1 个答案:

答案 0 :(得分:2)

  

我有点困惑什么时候需要很长时间,并使用准备和绑定

这是强大的,难以搞定,易于阅读,易于维护的方法。不要认为它是“漫长的路”。

  

在下面的代码中,我应该使用prepare吗?

是。总是使用允许绑定参数的东西。

  

如果我使用此代码,$ name将被转义,

问题中的代码,如上所述,不会逃脱$query。你只是把字符串拼凑在一起。数据库代码无法知道您编写的SQL是什么以及什么是不安全的外部数据。

  

或者我需要使用mysql_real_escape_string吗?

你需要使用允许绑定参数的东西。