Предотвратить SQL Injection без использования bindParam?

Question

[jacko036]

Насколько использование такой конструкции правильно, минуя bindParam?

$sql = $db->prepare('"SELECT * FROM users WHERE email = :email');
$sql->execute(array(':email'=>$email));
$rows = $sql->fetchAll();

или правильным будет второй вариант?

$sql = $db->prepare('"SELECT * FROM users WHERE email = :email');
$sql->bindParam(':email', $email);
$sql->execute();
$rows = $sql->fetchAll();

Answer 1

[Сергей Протько]

Это равносильно:

$sql = $db->prepare('"SELECT * FROM users WHERE email = :email');
$sql->bindParam(':email', $email, PDO::PARAM_STR);
$sql->execute();
$rows = $sql->fetchAll();

То есть все параметры будут расцениваться как строки.

Answer 2

[FanatPHP]

С помощью небольшой магии и короткого синтаксиса код можно еще больше сократить

$sql = 'SELECT * FROM users WHERE email = ?';
$rows = $db->prepare($sql)->execute([$email])->fetchAll();

Answer 3

[andreyqin]

Без разницы. В обоих случаях запрос сначала подготавливается, а уже потом выполняется с определенными параметрами, и не важно как эти параметры передаются, через bindParam, bindValue или сразу в execute.