Wie zu vermeiden, mysql Injektionen mit PDO
Wie kann ich vermeiden, dass die mysql-Injektionen? Dies ist der PHP-Datei habe ich jetzt
<?php
include 'config.php';
$Name = $_GET['Name'] ;
$sql = "Select * from tables where names =\"$Name\"";
try {
$dbh = new PDO("mysql:host=$dbhost;dbname=$dbname", $dbuser, $dbpass);
$dbh->query('SET CHARACTER SET utf8');
$dbh->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$stmt = $dbh->query($sql);
$names = $stmt->fetchAll(PDO::FETCH_OBJ);
$dbh = null;
echo '{"key":'. json_encode($names) .'}';
} catch(PDOException $e) {
echo '{"error":{"text":'. $e->getMessage() .'}}';
}
?>
Wenn ich $stmt = $dbh->query($sql); $stmt->execute(array(':name' => $name));
dem code funktioniert es nicht. Wie also sollte ich es tun?
- mögliche Duplikate von Beste Weg, um zu verhindern, dass SQL-Injection in PHP
Du musst angemeldet sein, um einen Kommentar abzugeben.
Lesen über pdo prepared statements
Hier ist ein Beispiel