我想防止从用户获取参数的PDO :: Query上的SQL注入的最简单方法是使用PDO :: prepare和PDO :: execute。但是在我的情况下,我有一个insert语句,它接受用户的参数。为此我正在使用PDO :: exec。以下不是确切的代码。
$db = new PDO("Connection String to connect to MSSQL");
$rowsAffected = $db->exec("Insert into MyTable (UserParam) Values($userParam)");
如何防止对此进行SQL注入?