php – bindValue()和bindParam()之间的混淆?

前端之家收集整理的这篇文章主要介绍了php – bindValue()和bindParam()之间的混淆?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我在这两个函数之间混淆Bindvalue()和BindParam()

>我在PHP.net上读取它不能逃脱%和_,所以在使用LIKE时要小心.所以我认为当我们使用LIKE查询时,BindValue()不被使用.
>当我们使用LIKE查询时使用BindParam().因为我知道BindParam可以逃脱这些%和_.
> BindValue()不提供针对sql注入的保护.我不知道这是真的吗?@H_301_4@

朋友告诉我在这3点中提到的是对还是错.
我是PDO的初学者,请您明确说明@H_301_4@

价值观如何逃脱或不被逃脱应该没有区别. bindParam与bindValue不同,因为它引用该变量,仅在执行该语句时绑定该值. bindValue立即取值.为了显示
$stmt = $db->prepare('SELECT * FROM `table` WHERE foo = :foo');

$foo = 'foo';
$stmt->bindValue(':foo',$foo);
$foo = 'bar';

$stmt->execute();

以上执行像SELECT * FROM table WHERE foo =’foo’;@H_301_4@

$stmt = $db->prepare('SELECT * FROM `table` WHERE foo = :foo');

$foo = 'foo';
$stmt->bindParam(':foo',$foo);
$foo = 'bar';

$stmt->execute()

以上执行像SELECT * FROM table WHERE foo =’bar’.@H_301_4@

这是真的,既不关心_或%作为特殊字符,因为一般来说,它们不是特殊字符,就语法而言,数据库驱动程序无法分析上下文,以确定您是否意味着%一个通配符或实际字符“%”在LIKE查询的上下文中.@H_301_4@

两者都可以防止sql注入.@H_301_4@

原文链接:https://www.f2er.com/php/131066.html

猜你在找的PHP相关文章