我是第一次使用PDO而且我想知道下面看起来是否安全,我试图阅读mysql_real_escape的替代品,看起来'prepare'方法足够安全明智,任何人都可以澄清这个为了我?仍然显得脆弱......
$UID = $_GET['id'];
$sth = $conn->prepare("SELECT * FROM directory WHERE user_active != '' AND ID = :uid");
$sth->execute(array(':uid' => $UID));
答案 0 :(得分:2)
准备方法不仅足够,还优于mysql_real_escape()。
您的代码有效,因为$UID将使用与SQL语句其余部分不同的协议进行传输。由于数据库对待它的方式不同,因此无需逃避。