Visualizzazione dei risultati da 1 a 7 su 7
  1. #1
    Utente di HTML.it
    Registrato dal
    Apr 2014
    Messaggi
    323

    pdo info su bindparam e bindvalue

    salve, come da titolo se si scrive codice cosi:
    $query->bindParam(':title', $_POST['title']);
    etc..

    dopo la prepare .. e lo stesso bindvalue ..

    sono protetti da sql injection o altro?

    lo chiedo perché sto imparando usare pdo .. ma non so se sono sicuri scritti cosi.

    idee?
    grazie mille.

  2. #2
    Utente di HTML.it
    Registrato dal
    May 2012
    Messaggi
    1,453
    bindParam() aggiunge la variabile per referenza quindi cambierà in base a come setterai la variabile anche dopo
    bindValue() aggiunge il valore della variabile senza referenza
    prepare() serve a preparare la query per poter associare i valori alle chiavi in modo sicuro, prima usi prepare e dal PDOStatment che ritorna userai bindParam,bindValue,execute,etc...

  3. #3
    Utente di HTML.it
    Registrato dal
    Apr 2014
    Messaggi
    323
    quindi è protetto?

  4. #4
    Utente di HTML.it
    Registrato dal
    Apr 2014
    Messaggi
    323
    esempio: in questo modo:
    codice:
    $query = $db->prepare("SELECT * FROM users WHERE username=:username AND password=:password");        $query->bindParam(':username', $_POST['username']);
            $query->bindParam(':password', $password_md5);
            $query->execute();
    e protetto dagli attacchi?

  5. #5
    Utente di HTML.it
    Registrato dal
    May 2012
    Messaggi
    1,453
    Quote Originariamente inviata da LedGiallo Visualizza il messaggio
    esempio: in questo modo:
    codice:
    $query = $db->prepare("SELECT * FROM users WHERE username=:username AND password=:password");        $query->bindParam(':username', $_POST['username']);
            $query->bindParam(':password', $password_md5);
            $query->execute();
    e protetto dagli attacchi?
    Si ma utilizza bindValue(), bindParam() solo se necessiti della referenza, poi puoi anche specificare il tipo come terzo parametro

  6. #6
    Utente di HTML.it
    Registrato dal
    Apr 2014
    Messaggi
    323
    quindi mi dici di usare query normali se non devo recuperare nulla da form etc.. ed usare bindparam o value se devo recuperare qualcosa da form.?

    dicevi cosi?

  7. #7
    Utente di HTML.it
    Registrato dal
    May 2012
    Messaggi
    1,453
    Quote Originariamente inviata da LedGiallo Visualizza il messaggio
    quindi mi dici di usare query normali se non devo recuperare nulla da form etc.. ed usare bindparam o value se devo recuperare qualcosa da form.?

    dicevi cosi?
    Non usare bindParam e usa sempre prepare se devi immettere nella query input esterni

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.