Welche von diesen beiden ist die sichere Methode, um eine Abfrage zu schreiben?Sicherer Weg, um eine PDO-Abfrage zu schreiben
$stmt = $pdo->prepare("UPDATE tableName SET fieldName = 0");
ODER
$stmt = $pdo->prepare("UPDATE tableName SET fieldName = :parameter");
$stmt-> bindValue(':parameter', 0);
Ich weiß, die zweite Methode ist Art und Weise am besten und ich benutze es, wenn ich ein $variable
in bindValue
verwenden. Aber hier muss ich eine bekannte ganze Zahl 0
verwenden. So schien der erste Prozess einfacher, da ich keine weitere bindValue
Anweisung schreiben musste. Aber ist es sicher?
das wäre nützlich, http://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php – hassan
Wenn der Wert eine Konstante ist, ist die erste Aussage sicher – Jens
bist du sicher @Jens? –