salve, come da titolo se si scrive codice cosi:
$query->bindParam(':title', $_POST['title']);
etc..
dopo la prepare .. e lo stesso bindvalue ..
sono protetti da sql injection o altro?
lo chiedo perché sto imparando usare pdo .. ma non so se sono sicuri scritti cosi.
idee?
grazie mille.
bindParam() aggiunge la variabile per referenza quindi cambierà in base a come setterai la variabile anche dopo
bindValue() aggiunge il valore della variabile senza referenza
prepare() serve a preparare la query per poter associare i valori alle chiavi in modo sicuro, prima usi prepare e dal PDOStatment che ritorna userai bindParam,bindValue,execute,etc...
quindi è protetto?
esempio: in questo modo:
e protetto dagli attacchi?codice:$query = $db->prepare("SELECT * FROM users WHERE username=:username AND password=:password"); $query->bindParam(':username', $_POST['username']); $query->bindParam(':password', $password_md5); $query->execute();
Si ma utilizza bindValue(), bindParam() solo se necessiti della referenza, poi puoi anche specificare il tipo come terzo parametroOriginariamente inviata da LedGiallo
quindi mi dici di usare query normali se non devo recuperare nulla da form etc.. ed usare bindparam o value se devo recuperare qualcosa da form.?
dicevi cosi?
Non usare bindParam e usa sempre prepare se devi immettere nella query input esterni
Permessi di invio
Rispondi quotando