当你将参数绑定到SQL语句时,可以提供参数类型,例如
PDO::PARAM_STR并不会引入任何SQL注入,因为您仍然拥有预处理查询。
PDO::PARAM_STR
。如果没有提供,类型的默认值为PDO::PARAM_STR
。为什么要特别设置每个参数的类型呢?至少在MySQL中,我知道PDO::PARAM_STR适用于任何参数。我认为甚至可以使用PDO::PARAM_STR与BLOB列一起使用。PDO::PARAM_STR并不会引入任何SQL注入,因为您仍然拥有预处理查询。