【发布时间】:2011-10-23 16:53:26
【问题描述】:
PHP中.NET的Command.SqlParameters.AddWithValue()对应的是什么?我想避免 SQL 注入,我只是想知道 PHP 除了通过mysql_real_escape() 转义字符串之外是否已经有相同的方法。
提前致谢!
【问题讨论】:
标签: php sql-injection parameter-passing
PHP中.NET的Command.SqlParameters.AddWithValue()对应的是什么?我想避免 SQL 注入,我只是想知道 PHP 除了通过mysql_real_escape() 转义字符串之外是否已经有相同的方法。
提前致谢!
【问题讨论】:
标签: php sql-injection parameter-passing
PDO的prepare()方法和PDOStatement::bindParam()或PDOStatement::bindValue()
两者的区别在于bindParam()绑定了一个变量的引用。变量值可以更改而无需重新绑定参数。这在循环中特别有用。
bindValue() 只是将静态值绑定到参数。
【讨论】: