Достаточно ли подготовленных операторов PDO для предотвращения внедрения SQL? ⇐ Php

[Anonymous]

Предположим, у меня есть такой код:

Код: Выделить всё

$dbh = new PDO("blahblah");

$stmt = $dbh->prepare('SELECT * FROM users where username = :username');
$stmt->execute( array(':username' => $_REQUEST['username']) );

В документации PDO сказано:


Параметры подготовленных операторов не необходимо цитировать; драйвер сделает это за вас.


Это действительно все, что мне нужно сделать, чтобы избежать SQL-инъекций? Неужели это так просто?

Вы можете использовать MySQL, если это имеет значение. Кроме того, меня действительно интересует только использование подготовленных операторов против SQL-инъекций. В этом контексте меня не волнуют XSS или другие возможные уязвимости.

Подробнее здесь: https://stackoverflow.com/questions/134 ... -injection