有人可以确认一下:如果我正在使用PDO :: PARAM,我不需要过滤sanitize注入mysql数据库,因为PDO:PARAM已经做到了......
答案 0 :(得分:5)
通过“PDO :: PARAM”,我想你的意思是binding parameters到准备好的陈述中。
是的,如果您正确使用预准备语句,则无需执行任何其他操作来避免SQL注入,因为数据库有机会清楚地看到SQL语句和用户提供的值之间的差异。绑定参数不会消毒或逃避这些值,它通过将语句与数据分离来回避整个清理和转义业务。