php - 我应该将用户输入直接包含在 pdo 准备语句查询中吗？

翻译自：https://stackoverflow.com/questions/17339801 2013-06-27T09:42:45.560

61 次

我想知道将用户定义的值放入准备好的查询有什么缺点？

$query = "select * from tablename where ID=10";
$db->prepare($query);
$db->execute();

我想要这个是因为我不想为这两个函数创建单独的函数$db->query()，$db->execute()因为这两个函数在获取行时的行为和工作方式都不同。

我只想要一个类似的函数query()，它既适用于普通查询，也适用于准备好的语句查询。

query()将包含：

function query($query,$bindparameter = array()){
    $db->prepare($query);
    if($bindparameter) {
        // add them in prepared
    }
    $db->execute();
}

我应该直接在查询中写入用户定义的值吗？

php - 我应该将用户输入直接包含在 pdo 准备语句查询中吗？

0 回答 0

Related

Reference