当在PHP中使用PDO时,我有点困惑,需要花很长时间来使用准备和绑定。
在下面的代码中,我应该使用prepare吗?如果我使用此代码,$ name是否会被转义,或者我是否需要使用mysql_real_escape_string?
$stmt = $db->query("UPDATE matches SET playerStatus = 4 WHERE name='$name' ");
由于
答案 0 :(得分:2)
我有点困惑什么时候需要很长时间,并使用准备和绑定
这是强大的,难以搞定,易于阅读,易于维护的方法。不要认为它是“漫长的路”。
在下面的代码中,我应该使用prepare吗?
是。总是使用允许绑定参数的东西。
如果我使用此代码,$ name将被转义,
问题中的代码,如上所述,不会逃脱$query。你只是把字符串拼凑在一起。数据库代码无法知道您编写的SQL是什么以及什么是不安全的外部数据。
或者我需要使用mysql_real_escape_string吗?
你需要使用允许绑定参数的东西。