Siemka,

Wlasnie zaczynam sie przesiadac na PDO i schody.

Dla mysql_

[SQL] pobierz, plaintext 
mysql_query ('insert into TABELA (user,passwd,email,now) values ($user,password($password),$email,now());
[SQL] pobierz, plaintext 

Ale nie bardzo rozumiem jak dla PDO

[SQL] pobierz, plaintext 
$res = $db ->prepare ("insert into TABELA (user,passwd,email,now) values (:user,:password,:email,:now())");
$res = bindValue(':user',$user, PDO::PARAM_STR);
$res = bindValue(':password,$password, PDO:PARAM_STR);
$res = bindValue(':email',$email, PDO::PARAM_STR);
[SQL] pobierz, plaintext 

Teraz jak uzyc funkcji password($password) and now() w PDO?

Pozdrawiam.

Binduje sie wartosci przekazywane do PDO a nie funkcje.....

$res = $db ->prepare ("insert into TABELA (user,passwd,email,now) values (:user,password(:password),:email,now())");

Super, tego mi wlasnie brakowalo.

A tak przy okazji, to:

[SQL] pobierz, plaintext 
bindValue(':user',$user, PDO::PARAM_STR);
[SQL] pobierz, plaintext 

zabezpiecza przed sql injection ? czy jednak warto przepuscic string przez jakas funkcje sprawdzajaca ?


Pozdrawiam.

Tak, jest to wystarczające zabezpieczenie. Parametry podpięte przez bindValue są przesyłane do bazy niezależnie od zapytania, więc nie ma możliwości modyfikacji samego zapytania przy ich pomocy.