Как правильно пользоваться bindParam?
Здравствуйте. Какое то время назад я уже спрашивал как правильно экранировать данные, т.к я был уверен что modx->prepare меня уже защищает. А в паре с addslashes дак вообще, ни одна инъекция не пройдет. И вот сейчас снова я вернулся к этому вопросу более плотно.
Раньше я делал так:
Мне посоветовали если я вручную собираю PDO запросы использовать bindParam, но информации я не так много нашел…
Не срабатывает. Я где то ошибся? Весь вечер пытаюсь нагуглить, не получается…
Спасибо!
Раньше я делал так:
$data = addslashes($_POST['data']);
$q = $modx->prepare("INSERT INTO `table` (`name`,`data`) VALUES (null, '$data'));Но как мне подсказали я ничего не фильтровал от инъекций возможных.Мне посоветовали если я вручную собираю PDO запросы использовать bindParam, но информации я не так много нашел…
$q = $modx->prepare("INSERT INTO `table` (`id`, `data`) VALUES (null, ':data')");
$q->bindParam(':data', $data, PDO::PARAM_LOB);
$q->execute();Внутри $data может быть все, хтмл, цсс, тексты, кавычки.Не срабатывает. Я где то ошибся? Весь вечер пытаюсь нагуглить, не получается…
Спасибо!
Комментарии: 6
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
не срабатывает, именно по этому начал смотреть в сторону bindParam