此代码使用PDO是否安全?

时间:2013-04-17 08:58:11

标签: php security pdo sql-injection

我是PDO的新手。正如我所听到的,PDO可以防止SQL注入攻击。

这是我写的:

$db = new PDO('mysql:host=192.168.57.36; dbname=somedb; charset=UTF8', 'user1', 'pass1');
$sql = "SELECT * FROM table1 WHERE id = ?";
$stmt = $db->prepare($sql);
$stmt->execute(array($tid));

这是一个安全的代码吗?我猜准备应该做一些安全行为,但变量会传递给它之后的查询。

我在执行方法之前使用addParam吗?

谢谢。

1 个答案:

答案 0 :(得分:3)

  

我在执行方法之前使用addParam吗?

没有

将变量传递给execute也是一样的。

可能还有其他问题,你可以阅读here