충분히 안전합니까?

Question

내가 PDO 새로운 해요, 난 그냥 경우이 코드를 알고 싶어 :

$string = $_POST['string']; 
$matches = $SQL->prepare("SELECT * FROM `users` WHERE `name` LIKE ?"); 
$matches->execute(array('%'.$string.'%')); 

foreach($matches->fetchAll() as $match) { 
    echo $match["name"]."<br/>"; 
} 

충분히 안전한가를? 나는 단지 해킹을 막고 예방하는 것을 원하지 않는다. 이 코드는 $string 변수와 같은 이름으로 데이터베이스에서 users을 모두 회수합니다.

언제든지 솔루션을 게시 할 수도 있습니다.

Answer 1

PDO는 쿼리를 실행하기 전에 입력 된 모든 입력을 자동으로 이스케이프하므로 SQL 주입 공격의 측면에서 안전합니다.