Hola comunidad!
Por ahí leí que PDO evita el SQL Injection, pero no sé como, tengo tres ejemplos inspirados en los del manual PHP que permiten hacer consultas con PDO, ¿Cuál de todos me evita la inyección SQL?
Desde ya muchas gracias
Forma 1 (con array):
Código PHP:
Ver original<?php
/* Execute a prepared statement by passing an array of values */
$sql = 'SELECT name, colour, calories
FROM fruit
WHERE calories < :calories AND colour = :colour';
$sth = $dbh->prepare($sql, array(PDO
::ATTR_CURSOR => PDO
::CURSOR_FWDONLY)); $sth->execute(array(':calories' => $_GET['calorias'], ':colour' => $_GET['color'])); // Imprimir el resultado.
?>
Forma 2 (bindParam):
Código PHP:
Ver original<?php
/* Execute a prepared statement by binding PHP variables */
$sth = $dbh->prepare('SELECT name, colour, calories
FROM fruit
WHERE calories < :calories AND colour = :colour');
$sth->bindParam(':calories', $_GET['calorias'], PDO::PARAM_INT);
$sth->bindParam(':colour', $_GET['color'], PDO::PARAM_STR, 12);
$sth->execute();
// Imprimir el resultado.
?>
Forma 3 (bindValue)
Código PHP:
Ver original<?php
/* Execute a prepared statement by binding PHP variables */
$sth = $dbh->prepare('SELECT name, colour, calories
FROM fruit
WHERE calories < :calories AND colour = :colour');
$sth->bindValue(':calories', $_GET['calorias'], PDO::PARAM_INT);
$sth->bindValue(':colour', $_GET['color'], PDO::PARAM_STR);
$sth->execute();
// Imprimir el resultado.
?>
Aclarando que $_GET['calorias'] y $_GET['color'] son recogidas de un formulario sin mas.