締切済み

PDOの使い方について

2016/04/22 20:04

PDOの使い方について教えてください。例えば $st = $pdo->prepare("SELECT * FROM user_table WHERE id=:id"); $st->bindValue(':id',$id, PDO::PARAM_INT); $st->execute(); を $st = $pdo->prepare("SELECT * FROM user_table WHERE id='$id' "); $st->execute(); のように記載してはいけないのでしょうか？セキュリティ上問題があるのでしょうか？よろしくお願い致します。

ore_akimoto
お礼率12% (2/16)

PHP
回答数1
ありがとう数0

みんなの回答 （1）
専門家の回答

みんなの回答

kreikg
ベストアンサー率39% (21/53)

2016/04/22 23:06 回答No.1

正常に結果を取得できなら問題ないですが下の書き方だと$idの変数の値ではなく、$idという文字列がクエリとして送信されてしまいませんか？

質問者

補足 2016/04/25 05:53

ありがとうございます。また説明不足ですいません。 $idには事前に変数の代入を「$id = 3;」などと行う予定です。実際には問題なく導入していますが、ただ、上記の例のように$st->bindValue(':id',$id, PDO::PARAM_INT);と行っていない場合、pdoはmysql_real_escape_stringが不要と聞きましたが、セキュリティ上問題がないのでしょうか？

PDOの使い方について

みんなの回答

補足 2016/04/25 05:53

関連するQ&A

バインドせずにPDOを使用すると

PDOのprepareでLIKEの部分一致が使えません・・

PDOがうまく動かない

PHP PDO　execute のsql

pdoでバインドしない場合のデメリット

PHPからSQL文で〇〇か〇〇か〇〇という時に

PDOについて

PDO で IN句を利用することができません

PDOで取得すると全てSTRING型で取得する？

PDOのprepareの使い方が正しいのか教えてください

同時アクセスについて

phpからsqliteにselect抽出

pdoについて

$dbh = dbConnect();

PHP　pdo データが無い場合とある場合

【PHP】PDOでのMysqlから値を取り出す時に

ステートメントが必要です。？？？

PDOでMYSQL

PHP PDO化作業中ORDERでソートできない

SQLインジェクション対策

注目のQ&A

カテゴリ

あなたにピッタリな商品が見つかる！ OKWAVE セレクト

専門家に質問してみよう

PDOの使い方について

みんなの回答

補足 2016/04/25 05:53

関連するQ&A

バインドせずにPDOを使用すると

PDOのprepareでLIKEの部分一致が使えません・・

PDOがうまく動かない

PHP PDO execute のsql

pdoでバインドしない場合のデメリット

PHPからSQL文で〇〇か〇〇か〇〇という時に

PDOについて

PDO で IN句を利用することができません

PDOで取得すると全てSTRING型で取得する？

PDOのprepareの使い方が正しいのか教えてください

同時アクセスについて

phpからsqliteにselect抽出

pdoについて

$dbh = dbConnect();

PHP pdo データが無い場合とある場合

【PHP】PDOでのMysqlから値を取り出す時に

ステートメントが必要です。？？？

PDOでMYSQL

PHP PDO化作業中ORDERでソートできない

SQLインジェクション対策

注目のQ&A

カテゴリ

あなたにピッタリな商品が見つかる！ OKWAVE セレクト

専門家に質問してみよう

PHP PDO　execute のsql

PHP　pdo データが無い場合とある場合