PDO：文字列をエスケープする必要がありますか？

Question

私はこのコードを使用して、データベースにデータを挿入します。 私は以前のコードをmysqliに基づいてPDOを使用するように変更しました。

パラメータ2の名前とIDについては、PDOでmysqli_real_escape_stringのような関数を使ってエスケープする必要がありますか？、またはこれらのパラメータdirecltyをクエリに渡すことはできますか？

<?php 
try 
{ 
    $pdo = new PDO('mysql:host='.$servername.';port='.$dbport.';dbname='.$dbname.'', $username, $decodedPwd); 

    $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); 
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); 

    $json = $_POST['jsonData']; 
    $id = $json["id"] 
    $name = $json["name"] 

    $pdo->beginTransaction(); 

    // do request 

    $pdo->query('INSERT INTO test(id, name) VALUES ('$id', '$name')'); 

    $pdo->commit(); 

    echo 'Everything is OK'; 
} 
catch(Exception $e) 
{ 
    $pdo->rollback(); 

    echo 'An error occurred :<br />'; 
    echo 'Error : '.$e->getMessage().'<br />'; 
    echo 'N° : '.$e->getCode(); 

    exit(); 
} 

Answer 1

、これを試してみてください。

$query = $pdo->prepare('INSERT INTO test(id, name) VALUES (:theid, :thename)'); 
$query->execute(array(
    'theid' => $id, 
    'thename' => $name 
)); 

Answer 2

大丈夫です。 prepared statementsまたはPDO::quote()を使用する必要があります。あなたの声明を準備する必要があり

Answer 3

あなたはprearedステートメントを使用する必要が文字列をエスケープする必要がませんが。

コードは次のとおりです。

<?php 
$pdo = new PDO('mysql:host='.$servername.';port='.$dbport.';dbname='.$dbname.'', $username, $decodedPwd); 

$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); 
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); 

$json = $_POST['jsonData']; 

$pdo->prepare('INSERT INTO test(id, name) VALUES (:id,:name)')->execute($json); 
echo 'Everything is OK'; 

トランザクションは単なるクエリでは役に立たず、エラーを報告する方法が間違っていることに注意してください。

$ jsonにすでにクエリのすべてのデータが含まれている場合、その内容を別の変数に格納する必要はありません。