Ich benutze PDO so, muss ich GET-Parameter bereinigen?PDO ohne Bindung verwenden
Ich weiß, wenn ich $stmt->bindParam(':user_id', $_GET['user_id'], PDO::PARAM_INT); tun, als es kein Problem ist. Aber ist mein Weg sicher?
Ja, es ist sicher. Die einzigen Unterschiede zwischen execute und bind* sind:
execute mehrere Parameter auf einmal akzeptiert, während Sie bind* jeder einzeln habenbind* können Sie den Parametertyp angegeben wird, während execute alles als Strings bindetDas Übergeben von Parametern an execute ist meist eine Kurzform, es ist immer noch sicher.