Использование PHP PDO предотвращает SQL injection?

Question

[n-name]

Доброго времени.

Использование PHP PDO (c MySQL) - насколько эффективно в плане защиты от SQL injection? Как правильно использовать PHP PDO для этого?

Answer 1

[Григорий Есин]

PDO само по себе --- нет. Защищают подготовленные выражения.

Comments

[n-name]

т.е. bindParam, и prepare?

[Андрей Павленко]

n-name: да

[Григорий Есин]

n-name , да

[Tatikoma]

Нет!

Подготовленные выражения используются для снижения нагрузки на СуБД за счёт разбора каждого типового запроса лишь один раз.

Для защиты от инъекций используется раздельная передача параметров и запроса, что возможно как для подготовленных запросов, так и для обычных.

Answer 2

[PxlFxr]

Защищает ли PDO от SQL-инъекции?