Задать вопрос
@jacko036
php

Предотвратить SQL Injection без использования bindParam?

Насколько использование такой конструкции правильно, минуя bindParam?

$sql = $db->prepare('"SELECT * FROM users WHERE email = :email');
$sql->execute(array(':email'=>$email));
$rows = $sql->fetchAll();


или правильным будет второй вариант?

$sql = $db->prepare('"SELECT * FROM users WHERE email = :email');
$sql->bindParam(':email', $email);
$sql->execute();
$rows = $sql->fetchAll();
  • Вопрос задан
  • 2484 просмотра
Комментировать
Подписаться 2 Оценить Комментировать
Решения вопроса 1
Fesor
@Fesor
Full-stack developer (Symfony, Angular)
Это равносильно:

$sql = $db->prepare('"SELECT * FROM users WHERE email = :email');
$sql->bindParam(':email', $email, PDO::PARAM_STR);
$sql->execute();
$rows = $sql->fetchAll();


То есть все параметры будут расцениваться как строки.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ответы на вопрос 2
FanatPHP
@FanatPHP
Чебуратор тега РНР
С помощью небольшой магии и короткого синтаксиса код можно еще больше сократить
$sql = 'SELECT * FROM users WHERE email = ?';
$rows = $db->prepare($sql)->execute([$email])->fetchAll();
Ответ написан
Комментировать
Комментировать
@andreyqin
Без разницы. В обоих случаях запрос сначала подготавливается, а уже потом выполняется с определенными параметрами, и не важно как эти параметры передаются, через bindParam, bindValue или сразу в execute.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
PHP-разработчик
Decart IT-production
от 260 000 до 340 000 ₽
Разработчик PHP
Автомакон
от 206 000 ₽
Backend-разработчик PHP
Wanted. Москва
До 160 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Телеграмм бот на Python
22 нояб. 2024, в 22:26
3500 руб./за проект
Сделать несколько гиф анимаций
22 нояб. 2024, в 21:47
3000 руб./за проект
Доделать сайт на Revolution 3
22 нояб. 2024, в 21:44
50000 руб./за проект
Ещё заказы