pdoでバインドしない場合のデメリット

$sth = $dbh->prepare('SELECT name, colour, calories
FROM fruit
WHERE calories < :calories AND colour = :colour');
$sth->bindParam(':calories', $calories, PDO::PARAM_INT);
$sth->bindParam(':colour', $colour, PDO::PARAM_STR, 12);
$sth->execute();

上記ではなく

$sth = $dbh->prepare('SELECT name, colour, calories
FROM fruit
WHERE calories < ? AND colour = ?');
$sth->execute(array($calories,$colour));

のようにbindParamやbindValueを使わない場合は危険はあるのでしょうか？

ご教示頂けますと幸いです。

宜しくお願いいたします。

No.1 ベストアンサー 回答者： yambejp 回答日時： 2014/05/02 20:49

>危険はあるのでしょうか

ここでいう危険というのはインジェクションのリスクという意味ですよね？
プリペアド処理でリスクヘッジをしているのですから、その点に関しては
たぶん大丈夫ですが、きちんと管理しないと割り当てる箇所がずれたりしそうですね

この回答へのお礼

回答ありがとうございました。
参考になりました。

お礼日時：2014/05/06 00:44