Ciao a tutti, sto iniziando ad utilizzare PDO come collegamento al mio database MySql
Leggendo in giro, ma posso sicuramente sbagliare, mi sembra di aver capito che utilizzando il prepare, sono "salvo" da sql injection ??!?
Ho capito male ?!!
Cioè.. posso "non trattare" il tipo di dato che mi viene passato via POST (ad esempio..) ??
codice:
<?php
//esempio tanto per...
$descrizione = $_POST['descrizione'];
$userID = $_POST['userID'];
$db = new database();
$sql = "INSERT INTO tabella (descrizione,userID) VALUES (:descrizione,:userID)";$db->query($sql);
$db->bind(':descrizione', $descrizione, PDO::PARAM_STR);
$db->bind(':userIDins', $userID, PDO::PARAM_INT);
$db->execute();
?>
Grazie a tutti per i chiarimenti !!