私はサンプルコードを持っていますが、PDOが安全かどうかを知る必要があります（MySQL）

Question

$s = "Update member_date" [snip] 
$p = $pdo->prepare($s, array(PDO::ATTR_CURSOR => PDO::CURSOR_FWDONLY)); 
$p->execute(); 

SQL注入型攻撃から安全であることを正当化する "準備済み"

UPDATE：

$member_id= htmlspecialchars($_GET['member_id']); 
s1 = " 
update member_date 
set member_date= now() 
where member_id= $member_id"; 

OVERALL QUESTION？：「私はちょうど最後に私の（新しい）エラーを読んだ後、古いmysqlの文からスイッチを作ってるんだ、私はすべての私の新しいSQL関連のコードをフォーマットする必要がありますどのようにこのですログには文字列などの疑問符のプレースホルダーを追加する必要がありますかセキュリティ上の目的でコードの最初の行に書かれている形式ですか？セキュリティパーツ "

Answer 1

PDOは、サーバーを攻撃する可能性のあるSQLインジェクションを避ける最も良い方法です。コードはうまく見えます。しかし、PHP PDOは、SQLインジェクションを避ける絶対的な方法です。

Answer 2

いいえあなたは、意図したとおりに準備されたステートメントを使用していません。あなたがするべきことは、$idをパラメータとして追加することで、あなたのコード（sql）とあなたのコンテンツ（id）を分けることです。

あなた自身をフィルタリングして、安全なSQLを行うことができますが、絶対的な最善の方法は、あなたがそれを置くようにです：

疑問符文字列のプレースホルダとすることができますように

に追加たとえば、「これはintである必要があります。"のような怖いものではありません。または、クエリで魔法を使うコードでは決してありません。