所以我在phpMyAdmin上有一个用于MySQL的UTF8MB4数据库,并且我正在PHP中使用PDO与我的数据库进行交互,我真的很想知道,只是要确保100%确保'bindValue'函数确实转义了数据,我听说SQL查询和数据的发送方式不同,但是我想知道是否正确,是否有任何方法可以绕过发生SQL注入的“ bindValue”?
示例代码:
$db = new PDO(...);
//Notice how I'm not sanitizing $_GET, is this okay?
$query = $db->prepare("SELECT * FROM table WHERE Username = :username");
$query->bindValue(":username", $_GET["username"]);
$query->execute();
echo "Rows: " . $query->rowCount();
while($row = ...) {
echo $row["Username"];
}