我是PDO的新手,我只是想知道这段代码:
$string = $_POST['string'];
$matches = $SQL->prepare("SELECT * FROM `users` WHERE `name` LIKE ?");
$matches->execute(array('%'.$string.'%'));
foreach($matches->fetchAll() as $match) {
echo $match["name"]."<br/>";
}
足够安全吗?我只是不确定并防止黑客入侵。
此代码将从数据库中撤消所有users,其名称与$string变量一样。
也可以随意发布您的解决方案!
答案 0 :(得分:4)
PDO将在执行查询之前自动转义为其提供的任何输入,因此就SQL注入攻击而言,它是安全的。