Cuando vincula parámetros a la instrucción SQL, puede proporcionar el tipo de parámetro como PDO::PARAM_STR
. Si no lo hace, escriba valores predeterminados en PDO::PARAM_STR
. ¿Cuáles pueden ser las razones para establecer específicamente el tipo de cada parámetro? PDO :: PARAM_STR funciona con cualquier parámetro, como sé al menos en MySQL. Creo que incluso con PDO :: PARAM_STR se puede usar incluso con columnas BLOB.Razones para escribir fuertemente los parámetros en PDO?
PDO :: PARAM_STR no introduce ninguna inyección de SQL porque todavía tiene consultas preparadas.
+1 de mí, excelente ejemplo. No es solo la inyección de SQL lo que debe evitarse, mostrar mensajes de error crudos de MySQL al usuario no es realmente atractivo ni profesional, por lo que el desarrollador ** debe ** aplicar siempre la seguridad de tipo. –
@ N.B. para mí es muy aburrido Prefiero el código conciso sobre la repetición de este enlace una y otra vez –
¿Demasiado aburrido para hacer qué? –