7
PDOの準備済みステートメントはSQLインジェクションを防ぐのに十分ですか?
私がこのようなコードを持っているとしましょう: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); PDOドキュメントは言う: 準備済みステートメントのパラメーターは引用符で囲む必要はありません。ドライバーが処理します。 SQLインジェクションを回避するために本当に必要なことはそれだけですか?本当にそんなに簡単ですか? それが違いを生む場合、MySQLを想定できます。また、SQLインジェクションに対するプリペアドステートメントの使用についてのみ興味があります。このコンテキストでは、XSSやその他の考えられる脆弱性については気にしません。
660
php
security
pdo
sql-injection