PDO没有mysql_real_escape_string和bindValue

Question

我是比较新的PDO和我写了下面的代码块：

$id = $_GET['id']; 

$db = new PDO('mysql:host=localhost;dbname=testdb;charset=utf8', 'username', 'password'); 

foreach($db->query("SELECT id,name FROM names where id = '$id' ") as $row) { 
    echo "<p>", ($row['name']), "<br>"; 
} 

我的不确定性：

1. 是安全的在OMIT mysql_real_escape_string第一行，因为我使用PDO
2. 是否可以安全地在不使用绑定值的情况下运行上述查询。

感谢

Answer 1

不，这不是安全的。 PDO不会奇迹般地逃避您的查询。如图所示，您的代码可广泛应用于SQL注入。

如果在查询中使用变量，请不要使用->query。不要试图自己逃脱它们。你应该使用准备好的语句。这是安全的方式。

$stmt = $db->prepare('SELECT id,name FROM names where id = ?'); 
if($stmt->execute(array($id))){ 
    while($row = $stmt->fetch(PDO::FETCH_ASSOC)){ 
     echo "<p>", ($row['name']), "<br>"; 
    } 
} 

所以，是的，你需要使用bindParam，或execute，如图所示。

P.S. mysql_real_escape_string为只有为（已弃用）mysql_扩展名。它不适用于PDO。

Answer 2

回答你的问题，

1. 它是安全的忽略mysql_real_escape_string只要您使用绑定（以及....你不能用PDO使用mysql_real_escape_string反正）

2. 没有。这是绝对不安全的。无论您是否使用PDO都无关紧要。