PDO'da Bu Tür İşlem Sql İnj İçin Güvenli Mi?
-
herkese selam,
aşağıda vereceğim kod. PDO ile yapıyorum sql inj açığını önlemeye yeterli midir?
$sth = $dbh->prepare('SELECT id, kadi FROM uyeler WHERE id = :id'); $sth->bindParam(':id', $uid, PDO::PARAM_INT); $sth->execute(); $uyebilgi=$sth -> fetch(); $kadi=$uyebilgi["kadi"];
-
Genel bir cevap vermek gerekirse; evet güvenli ve yeterli.
Bazı kaynaklarda karakter setlerinde vs sorunlar olabiliyor gibi yorumlar görmüştüm. Detaylarını bilmiyorum ama şu linkte tartışılmış bu konu; https://stackoverflow.com/questions/134099/are-pdo-prepared-statements-sufficient-to-prevent-sql-injection
-
kısaca evet.