public function receiveDomainNames($keyword)
{
try
{
$stmt = $this->_dbh->prepare("SELECT d.someField FROM domain d WHERE d.someField LIKE :keyword");
$someField = '%'.$keyword.'%';
在这种情况下,我们是否需要转义$关键字?PDO准备陈述:我们需要逃脱吗?
在PHP手册中,我们可以读到:
如果应用程序独占地使用预处理语句,开发人员可以 确保将 没有出现SQL注入(的 的但是,如果其他部分查询正在构建与 未转义的输入,SQL注入是 仍然可能)。
这是对你的意见的情况下,是,在此情况下,建立转义输入(无既往治疗已经取得了我们的$关键字参数)?
由于提前, MEM
实际上,我在我们的$关键字参数中使用filter_input和FILTER_SANITIZE_STRING(在他到达此处之前) - 所以我认为在那里不需要转义? – MEM 2010-09-20 10:13:07
可能出现[用于PDO语句的转义参数?](http://stackoverflow.com/questions/2874636/escape-arguments-for-pdo-statements) – outis 2012-04-27 19:25:37