3

初めてPDOを使用していて、以下が安全に見えるかどうか疑問に思っています。mysql_real_escapeの代替方法を調べてみましたが、セキュリティに関しては「prepare」メソッドで十分なようです。誰かがこれを明確にできますか?まだ脆弱に見えます...

$UID = $_GET['id'];

$sth = $conn->prepare("SELECT * FROM directory WHERE user_active != '' AND ID = :uid");
$sth->execute(array(':uid' => $UID));
4

1 に答える 1

2

準備方法は十分であるだけでなく、よりも好まれmysql_real_escape()ます。

$UIDSQLステートメントの残りの部分とは異なるプロトコルで送信されるため、コードは機能します。データベースはそれを異なる方法で処理するため、エスケープする必要はありません。

于 2012-10-22T22:41:26.437 に答える