2011-10-09 264 views
1

我是新与PDO,我只是想知道如果这个代码:这是否足够安全?

$string = $_POST['string']; 
$matches = $SQL->prepare("SELECT * FROM `users` WHERE `name` LIKE ?"); 
$matches->execute(array('%'.$string.'%')); 

foreach($matches->fetchAll() as $match) { 
    echo $match["name"]."<br/>"; 
} 

足够安全?我只是不能确定和防止黑客入侵。 此代码将从数据库中提取所有users,其名称与$string变量中的名称相同。

随意张贴您的解决方案也!

回答

4

在执行查询之前,PDO将自动转义给它的任何输入,所以就SQL注入攻击而言,它是安全的。

+0

谢谢。 :-)) – Rym

相关问题