Задать вопрос
@jacko036
php

Предотвратить SQL Injection без использования bindParam?

Насколько использование такой конструкции правильно, минуя bindParam?

$sql = $db->prepare('"SELECT * FROM users WHERE email = :email');
$sql->execute(array(':email'=>$email));
$rows = $sql->fetchAll();


или правильным будет второй вариант?

$sql = $db->prepare('"SELECT * FROM users WHERE email = :email');
$sql->bindParam(':email', $email);
$sql->execute();
$rows = $sql->fetchAll();
  • Вопрос задан
  • 2483 просмотра
Комментировать
Подписаться 2 Оценить Комментировать
Решения вопроса 1
Fesor
@Fesor
Full-stack developer (Symfony, Angular)
Это равносильно:

$sql = $db->prepare('"SELECT * FROM users WHERE email = :email');
$sql->bindParam(':email', $email, PDO::PARAM_STR);
$sql->execute();
$rows = $sql->fetchAll();


То есть все параметры будут расцениваться как строки.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ответы на вопрос 2
FanatPHP
@FanatPHP
Чебуратор тега РНР
С помощью небольшой магии и короткого синтаксиса код можно еще больше сократить
$sql = 'SELECT * FROM users WHERE email = ?';
$rows = $db->prepare($sql)->execute([$email])->fetchAll();
Ответ написан
Комментировать
Комментировать
@andreyqin
Без разницы. В обоих случаях запрос сначала подготавливается, а уже потом выполняется с определенными параметрами, и не важно как эти параметры передаются, через bindParam, bindValue или сразу в execute.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
PHP Developer
YCLIENTS Москва
от 200 000 до 350 000 ₽
PHP разработчик
Ведисофт Екатеринбург
от 25 000 ₽
Midlle PHP developer (backend)
ИТЦ Аусферр Магнитогорск
от 100 000 до 160 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Необходим фронтенд-разработчик - продукт по посуточной аренде
23 апр. 2024, в 14:58
1000 руб./в час
Разработка брендинга и рекламных баннеров для маркетплейса
23 апр. 2024, в 14:58
800 руб./в час
Создать сайт-конструктор по примеру
23 апр. 2024, в 14:44
10000 руб./за проект
Ещё заказы