最安全的PDO使用方式

时间:2015-03-06 05:16:00

标签: php sql

我是一个关于安全问题的非常“粗略”的人,但是当谈到我的编码逻辑时,我也是一个令人困惑的人。

什么是最好的绝对BEST方法来做预备语句而不必绑定每个参数,不得不做任何其他事情。因为在ADO中我可以简单地执行此操作

$stmt = $conn->execute("SELECT * FROM users WHERE username = $user AND password = $pass");

然后我可以通过这种方式轻松收集这个字段。

$stmt->fields['UID'];

我不知道如何在PDO中执行此操作,但如果我要迁移到PDO,我宁愿安全地执行此操作。

我的朋友建议我做一个消毒功能?我将如何解决这个问题,是否有任何有用的预先制作的PHP清理功能?

1 个答案:

答案 0 :(得分:1)

您不必逐个手动绑定每个参数。这有效:

$stmt = $conn->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->execute(array($user, $pass));
$row = $stmt->fetch(PDO::FETCH_ASSOC);

echo $row['UID'];