PDO新手 - 我是否需要转义我传入PDO预处理语句的参数(如下所示):
$_GET['name'] = "O'Brady";
$sth = $dbh->prepare("INSERT INTO users SET name = :name");
$sth->bindParam(':name', $_GET['name']);
$sth->execute();
答案 0 :(得分:11)
没有。你也不需要在文本字符串周围加上任何引号。只需按原样传入变量,MySQL驱动程序将负责其余的工作。
答案 1 :(得分:2)
PDO将以安全的方式构建查询you won't need to escape it。