我想知道是否确保为这样的准备好的查询存储价值:
$notGood = 'yes';
$req = $pdo->prepare('SELECT id_user, name_user, tel_user, a_valid_user FROM user WHERE a_valid_user = ?');
$req->execute([$notGood];
当你事先知道价值时,我不知道它是否是正确的做法。 感谢您的建议
答案 0 :(得分:1)
是的,只要您的变量在查询中由占位符(?)表示,就是安全的。
如果您对将变量发送到执行是否安全感到好奇,它只是bindValue()的语法糖,这使得PDO非常方便使用。所以我建议尽可能使用它。