同时使用 PDO 准备好的语句和 filter_var？

Question

嘿伙计们，我正在学习 OO PHP，并且一直在研究 PDO——但我不清楚的一件事是我是否应该将 PDO 准备好的语句与 filter_var() 函数或单独使用。例如，我应该做什么

$query = $database->connection->prepare("SELECT name FROM acounts WHERE id = :id LIMIT 1");
$query->bindParam(":id", $this->id, PDO::PARAM_INT);

或类似的事情？

$id = filter_var($this->id, FILTER_VALIDATE_INT);
$query = $database->connection->prepare("SELECT name FROM acounts WHERE id = :id LIMIT 1");
$query->bindParam(":id", $id, PDO::PARAM_INT);

Answer 1

一般来说，这是不同的任务。
您可以根据需要验证您的数据。
但 PDO 本身不需要任何验证。

对于您提供的代码，不需要使用 filter_var() ，因为带有 PDO::PARAM_INT 标志的 bindParam 将执行相同的工作

Answer 2

参数化查询在这里就足够了。您已经从局部变量中获得了 ->$id 。 PDO 方法非常适合防范数据库攻击。

您首先必须区分 $id 是从哪里获得的。无论您在何处导入 user/http 输入，都请使用 filter_var 。不要仅将其用于安全目的，而是为了以正确的格式检索用户数据。