我正在制作PHP代码,并使用数据库MySql。 我想知道参数绑定,这是一个排除字段(pw)的例子;
如果用户通过表单发送用户名,则将其作为POST
$username = $_POST["username"];
然后用于登录;
$query = "SELECT * FROM users WHERE username = :username";
然后
$stmt = $conn->prepare($query);
$stmt->bindParam(":username", $username);
有没有保护?我的意思是与直接使用POST变量相比。
问候
答案 0 :(得分:0)
使用时没有区别:
$stmt->bindParam(":username", $username);
或
$stmt->bindParam(":username", $_POST['username']);
它们都包含相同的值,并将它们与参数绑定完全相同。
保护来自于将参数与预准备语句绑定,而不是选择将其绑定到的变量。