PDOは文を準備しました。すべてを選択

Question

私はPDOを学び、ステートメントを準備しようとします。私はすべてのドキュメントを読んで、いくつか質問があります。私が理解すれば、以下のような場合には不可能であり、準備された陳述は必要ありません。あれは正しいですか？それは十分に安全ですか？

try { 
    $conn = new PDO("mysql:host=$servername; dbname=$dbname", $username, $password); 
    $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); 
    echo "Connected successfully <br>"; 

    $sql = "SELECT title_post, subtitle_post 
      FROM en"; 
    $statement = $conn->prepare($sql); 
    $statement->execute(); 

    $rows = $statement->fetchAll(); 
    foreach($rows as $row){ 
     echo $row['title_post'] . '<br>'; 
     echo $row['subtitle_post'] . '<br>'; 
    } 
} 
catch(PDOException $e) { 
    echo "Error: " . $e->getMessage(); 
} 
$conn = null; 

Answer 1

​​パラメータをエスケープまたは引用する必要を避けるために、パラメータをバインドするための準備文を実行します。また、クエリを複数回繰り返すと、executeもうまく実行されます。

query()は標準SQL文を実行し、SQLインジェクションなどの問題を避けるためにすべてのデータを適切にエスケープする必要があります。

ので、あなたの場合、私はリテラルに基づいてSQLのすべてのコードので、あなたが...脱出するnothigsを持っていて、ユーザーの入力を取らない場合は、prepare()

Answer 2

クエリ文字列が定数の場合、悪意のあるSQLを挿入する場所はありません。あなたが指摘したように、準備されたステートメントを使用することは確かに冗長です。