Как предотвратить SQL-инъекцию на PDO::exec

Я предполагаю, что самый простой способ предотвратить внедрение sql в PDO::Query, который принимает аргументы пользователя, - это использовать PDO:: prepare и PDO::execute. Однако в моем случае у меня есть оператор вставки, который получает параметр от пользователя. Для этого я использую PDO::exec. Ниже не точный код.

$db = new PDO("Connection String to connect to MSSQL");
$rowsAffected = $db->exec("Insert into MyTable (UserParam) Values($userParam)");

Как я могу предотвратить инъекцию SQL на этом?

php pdo sqlsrv

Источник

user3050426 28 июл '14 в 14:20

0 ответов

Другие вопросы по тегам php pdo sqlsrv