私はちょっと混乱しています。簡単なPDOのPHPのアドバイス
以下のコードでは、代わりに準備を使用する必要がありますか?このコードを使用すると、$ nameはエスケープされますか、またはmysql_real_escape_stringを使用する必要がありますか?読みやすい台無しにくい堅牢だ
$stmt = $db->query("UPDATE matches SET playerStatus = 4 WHERE name='$name' ");
おかげ
php
私はちょっと混乱しています。簡単なPDOのPHPのアドバイス
以下のコードでは、代わりに準備を使用する必要がありますか?このコードを使用すると、$ nameはエスケープされますか、またはmysql_real_escape_stringを使用する必要がありますか?読みやすい台無しにくい堅牢だ
$stmt = $db->query("UPDATE matches SET playerStatus = 4 WHERE name='$name' ");
おかげ
周りの長い道のりを取ると、使用準備と
をバインドするとき、私は少し混乱しています、 、簡単にアプローチを維持する。それを「長い道のり」とは考えないでください。
代わりに次のコードを使用しますか?
はい。束縛された引数を使用できるものを常に使用してください。私はこのコードを使用する場合は、$名がエスケープされる
、
問題のコード、書かれたとして、$query
をエスケープしません。あなたは文字列をマッシュしているだけです。あなたが書いたSQLは何か、安全でない外部データは何かをデータベースコードが知る方法はありません。
またはmysql_real_escape_stringを使用する必要がありますか?
バインドされた引数を使用できるものを使用する必要があります。
いいですね。ありがとう – BlackMouse