准备好的语句可以在用户提供数据时阻止sql注入,我们将这些数据用于数据库插入,或者甚至构建查询。但是,当我从数据库中检索以前插入的用户提供的数据时,PDO真的有什么好处吗?
听起来我的回答是否定的。它已经存在。只要检索它的查询本身不会被用户提供的参数玷污(例如select * from table不会被用户提供的数据玷污),即使不是PDO也可以使用任何东西,即使正在检索的数据本身过去用户提供的数据中的某一点。有什么输入?
我的猜测是,一旦人们开始在他们的代码中使用PDO,就可以保持对所有代码使用它的一致性,并且永远不会回到正常的mysql(即使PDO稍微有点困难)。
答案 0 :(得分:1)
一致性 是一种好处。事实上,这是使用PDO的主要(理论上)好处。通过绑定参数防止注入与PDO正交。