我是一个关于安全问题的非常“粗略”的人,但是当谈到我的编码逻辑时,我也是一个令人困惑的人。
什么是最好的绝对BEST方法来做预备语句而不必绑定每个参数,不得不做任何其他事情。因为在ADO中我可以简单地执行此操作
$stmt = $conn->execute("SELECT * FROM users WHERE username = $user AND password = $pass");
然后我可以通过这种方式轻松收集这个字段。
$stmt->fields['UID'];
我不知道如何在PDO中执行此操作,但如果我要迁移到PDO,我宁愿安全地执行此操作。
我的朋友建议我做一个消毒功能?我将如何解决这个问题,是否有任何有用的预先制作的PHP清理功能?
答案 0 :(得分:1)
您不必逐个手动绑定每个参数。这有效:
$stmt = $conn->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->execute(array($user, $pass));
$row = $stmt->fetch(PDO::FETCH_ASSOC);
echo $row['UID'];