转义PDO语句的参数?

时间:2010-05-20 14:26:48

标签: php pdo

PDO新手 - 我是否需要转义我传入PDO预处理语句的参数(如下所示):

$_GET['name'] = "O'Brady";

$sth = $dbh->prepare("INSERT INTO users SET name = :name");
$sth->bindParam(':name', $_GET['name']);
$sth->execute();

2 个答案:

答案 0 :(得分:11)

没有。你也不需要在文本字符串周围加上任何引号。只需按原样传入变量,MySQL驱动程序将负责其余的工作。

答案 1 :(得分:2)

PDO将以安全的方式构建查询you won't need to escape it