Verständnis von PDO -erstellten Aussagen und Bindungsparametern ⇐ Php

[Anonymous]

Aus Erfahrung und der ständigen Erklärung der Vorteile der Verwendung vorbereiteter Aussagen und der Bindung meiner Parameter habe ich diese beiden Techniken in meinem Code ständig verwendet.

Code: Select all

$sql = "SELECT * FROM myTable WHERE id = ".$id;
$stmt = $conn->prepare($sql);
$stmt->execute();
< /code>

Der vorherige Code sollte mit der von mir vorgeschlagenen Abfrage eine Art Puffer in der Datenbank erstellen. Jetzt [b] aus meinem Verständnis [/b] (und ich könnte sehr falsch liegen) ist der vorherige Code unsicher, da die Zeichenfolge $ SQL 

etwas sein könnte, abhängig davon, was $ id tatsächlich ist und ob $ id = 1; Droptabelle mytable;-, ich würde eine böswillige Abfrage einfügen, obwohl ich eine vorbereitete Aussage habe. < /p>

Aus meinem Verständnis < /strong> hier binden Sie meine Parameter. Wenn ich stattdessen Folgendes mache: < /p>

Code: Select all

$sql = "SELECT * FROM myTable WHERE id = :id";
$stmt = $conn->prepare($sql);
$stmt->bindParam(':id', $id);
$stmt->execute();
< /code>

Die Datenbank sollte genau alle Teile der SQL -Anweisung vor Hand kennen:
SELECT

diese Spalten: * aus mytable und wo id = "eine Variable, die vom Benutzer eingegeben wurde", und wenn "eine Variable, die vom Benutzer eingegeben wurde"! etwas vermissen? Und so viel aufwändig, wie Sie wollen, wird alles Feedback sehr geschätzt!