Maison > Article > développement back-end > Requête() et exécution() de PDO : interchangeables ou distinctes ?
Question :
Les méthodes query() et exécuté(s) de PDO sont-elles ) méthodes essentiellement interchangeables, ou diffèrent-elles de manière significative ?
Réponse :
Bien que les deux méthodes effectuent des requêtes de base de données, elles présentent certaines distinctions fondamentales :
query() vs exécuter()
Exemple d'instruction préparée :
<code class="php">$sth = $dbh->prepare('SELECT name, colour, calories FROM fruit WHERE calories < :calories AND colour = :colour'); $sth->bindParam(':calories', $calories); $sth->bindParam(':colour', $colour); $sth->execute();</code>
Dans ce cas, les variables $calories et $colour ne n'ont pas besoin d'être échappés ou cités puisqu'ils sont séparés de la requête.
Recommandation :
Pour une sécurité renforcée, il est recommandé d'utiliser des instructions préparées avec exécuter( ). Cela garantit que les données fournies par l'utilisateur ne sont pas vulnérables aux attaques par injection SQL.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!