我对@987654323@和BindParam()这两个函数感到困惑
% 和 _,所以在使用 LIKE 时要小心。所以我认为BindValue() 在我们使用 LIKE 查询时没有被使用。LIKE 查询BindParam() 时使用。因为据我所知 BindParam 可以逃脱这些 % 和 _。BindValue() 不提供针对 sql 注入的保护。我不确定,这是真的吗?朋友告诉我这三点是对还是错。 我是 PDO 的初学者,所以请解释清楚..
【问题讨论】:
标签: php pdo bindvalue bindparam
值如何转义或不转义应该没有区别。 bindParam 与 bindValue 的不同之处在于它引用变量,仅在执行语句时绑定值。 bindValue 立即获取 值。举例说明:
$stmt = $db->prepare('SELECT * FROM `table` WHERE foo = :foo');
$foo = 'foo';
$stmt->bindValue(':foo', $foo);
$foo = 'bar';
$stmt->execute();
上面的执行类似于SELECT * FROM table WHERE foo = 'foo';
$stmt = $db->prepare('SELECT * FROM `table` WHERE foo = :foo');
$foo = 'foo';
$stmt->bindParam(':foo', $foo);
$foo = 'bar';
$stmt->execute()
上面的执行类似于SELECT * FROM table WHERE foo = 'bar'。
确实不关心_或%作为特殊字符,因为一般来说它们就语法而言不是特殊字符,并且数据库驱动程序无法分析上下文来计算在LIKE 查询的上下文中,您意思是 % 是通配符还是实际字符“%”。
两者都可以防止 SQL 注入。
【讨论】:
+1 很好的解释。但是,在什么情况下或在什么时候使用一种代替另一种变得重要?我只能看到为什么一个应该适合某些条件,而不是另一个。
好吧,你完全错了。
Bindvalue() 和 BindParam() 在任何一种方式上都相等,但参数类型除外。
它们都没有逃脱 % 和 _,这并没有太大关系。这种转义只影响返回结果的可靠性,而不影响任何“注入”。
【讨论】: