在PDO中传递$ _REQUEST,bindValue足够安全吗?

时间:2013-06-28 09:15:41

标签: php pdo bindvalue

我是编写PDO代码的新手,并试图将我的网站代码从mysql转移到PDO。 我阅读了很多关于绑定值的教程,但所有的值都取自数组或稳定的值,并且还注意到mysql_real_escape_string被PDO中的quote替换。

现在,当我将代码从mysql重写为PDO时,它尝试绑定$ _REQUEST ['id']的值 并且代码返回一个空值。

$cat_id=$DB->quote($_REQUEST['id']);
$sql_cat='select * from '.$prev.'team where id = ? ';
$re_cat=$DB->prepare($sql_cat);
$re_cat->bindValue(1, $cat_id);
$re_cat->execute();
$d_cat=$re_cat->fetch(PDO::FETCH_ASSOC);
$cat_name=$d_cat['title'];
$league = $d_cat['leagueID'];
echo $cat_name;

这里的问题是:如果我从$ _REQUEST和bindValue中删除引用,那么SQL注入是否足够安全?

0 个答案:

没有答案