这真的是sql注入证明吗?

时间:2018-11-25 19:50:36

标签: php mysql pdo sql-injection

所以我在phpMyAdmin上有一个用于MySQL的UTF8MB4数据库,并且我正在PHP中使用PDO与我的数据库进行交互,我真的很想知道,只是要确保100%确保'bindValue'函数确实转义了数据,我听说SQL查询和数据的发送方式不同,但是我想知道是否正确,是否有任何方法可以绕过发生SQL注入的“ bindValue”?

示例代码:

$db = new PDO(...);

//Notice how I'm not sanitizing $_GET, is this okay?
$query = $db->prepare("SELECT * FROM table WHERE Username = :username");
$query->bindValue(":username", $_GET["username"]);
$query->execute();
echo "Rows: " . $query->rowCount();

while($row = ...) {
    echo $row["Username"];
}

0 个答案:

没有答案