PHP PDO MySQL count（）prepared statement

Question

私はWeb開発コースを利用しています。彼らはこれを行うためのワークショップで私たちを教えるPHP PDOのMySQLでの作業：

function countUsers($search) { 
    $and = ''; 
    if ($search != '') { 
     $and = " AND user_name LIKE '%".$search."%'";  
    } 
    $total = $this->db->query("SELECT COUNT(id) as rows FROM users WHERE valid = 1" . $and)->fetch(PDO::FETCH_OBJ); 
    return $total->rows; 
} 

私の視点から、これは完全に間違っている、ステートメントが準備されたものではなく、つながることができ、検証せずにユーザー入力から直接渡されます

function countUsers($search) { 
    $and = ''; 
    $sqlSearch = "%$search%"; 

    if ($search != '') { 
     $and = " AND user_name LIKE :username"; 
    } 

    $sql = "SELECT COUNT(id) as rows FROM users WHERE valid = 1" . $and; 
    $sth = $this->db->prepare($sql); 
    if ($search != '') { 
     $sth->bindParam(':username', $sqlSearch, PDO::PARAM_STR); 
    } 
    $sth->execute(); 
    $total = $sth->fetch(PDO::FETCH_OBJ); 
    return $total->rows; 
} 

は私が間違っている：SQLインジェクションに、私はトレーナーにこれを提案した（私はfetchColumnは（）ここでは、より適切であろうが、のは、例のために、このに固執しましょう知っていますか）？彼らは間違っているか、私たちは両方とも間違っていますか？

Answer 1

はい、あなたは正しいです。

ただし、コードが最適ではありません。事実、準備文はコードをクリーナーにすることを意図しています。私はクリーンアップの

function countUsers($search) { 
    $sql = "SELECT COUNT(id) FROM users WHERE valid = 1 AND user_name LIKE ?"; 
    $sth = $this->db->prepare($sql); 
    $sth->execute(["%$search%"]); 
    return $sth->fetchColumn(); 
} 

一部は単なるトリックです - あなたはいつもLIKE '%%'を検索し（USER_NAMEはしかしnullであるものを除く）すべての行を一致させることができますよう。

しかし、残りはちょうどPDOの適切な使用が備わっています：あなたは常に位置プレースホルダ

を使用することができます

• をあなたは常に（bindParamを回避することができます）あなたは適切なフェッチモード
を使用する必要があります
• を呼び出します