标签: php mysql pdo
我很新,并且已经被告知准备好的查询的关键理由是安全。
我的程序中有一个查询没有收到任何用户输入 - 它全部使用内部变量。在PDO查询中使用bindParam而不是简单地按原样提交查询字符串仍然有好处吗?
bindParam
答案 0 :(得分:1)
如果未来的更新改变了变量,以便从用户输入中分配变量,但没有人愿意改变查询,该怎么办?
应该避免永远将变量连接到SQL中,总是将它们作为参数发送到RDBMS。