Witam.

Mam pytanie odnośnie PDO i wstrzykiwania kodu.
Otóż mam taki fragment:

[PHP] pobierz, plaintext 
					$db= new PDO('mysql:host=localhost;dbname=test', 'root', '');
 
					$sql= "SELECT id FROM uzytkownicy WHERE login= :login AND haslo= :haslo";
					$login= $db->prepare($sql);
 
					$login->execute(array(':login' => $_REQUEST['login'],
								         ':haslo' => $_REQUEST['haslo']));
					if($login->fetch()) echo 'zostałeś zalogowany !';
					else echo 'niestety nie zostałeś zalogowany !';
[PHP] pobierz, plaintext 

i gdy w loginie wpisuje np test' -- (po myślnikach jeszcze spacja) to nie da się zalogować, a w przypadku mysqli bez użycia real_escape_string już da.
Myślałem, że bindValue ma zabezpieczenia, a czy execute je też tworzy ? czy w przypadku PDO kod się inaczej wstrzykuje - jeśli tak to jak ?

To co robisz w execute to właśnie skrócone bindowanie. Tak się nie da nic wstrzyknąć.

W zasadzie bindValue mija się trochę z celem, bo raz, że jest dłuższe w zapisie, to i tak trzeba stosować execute potem.

PDO ogólnie ma taką ideę, że nie musisz w ogóle myśleć nad jakimikolwiek zabezpieczeniami bo PDO samo sobie z filtracją poradzi, Ty jedynie co to możesz ew. zdefiniować podczas bindowania czy chcesz otrzymać wartość liczbową (INT) czy tekst (STR), tyle.

Ja na Twoim miejscu bindowałbym te wartości

Nie prawda, powinno się stosować bindValue/Param i ogólnie wszędzie tak się stosuje.

Poza tym tutaj w execute wymuszony jest string, w bindValue/Param możesz przesłać parametr jako INT na przykład.

@Michael2318: Nie zgadzam się. Trzeba pamiętać, że używanie PDO nie zwalnia z myślenia i czasami (zwłaszcza dla mało doświadcznych programistów) może dawać złudne poczucie "bezpieczeństwa". Często się zdarzają błędy typu SQL injection, pomimo "używania" PDO.

PDO nic nie pomoże jeśli ktoś wsadzi $_GET/$_POST do sqla w stylu $sql = "SELECT * FROM foo WHERE id=".$_GET['id'];
Nadal będziemy mieć podatność mimo super pdo.

Dlatego dodałem, że jedyne co musi zrobić to zbindować daną wartość i określić czy spodziewa się stringa czy wartości liczbowej (int) w rezultacie

Mówicie, że z bindValue należy korzystać, bo określasz czego się spodziewasz, więc zrobiłem test

[PHP] pobierz, plaintext 
				$sql= "INSERT INTO liczby(liczba1, liczba2, liczba3) VALUES(:liczba1, :liczba2, :liczba3)";
				$liczby= $db->prepare($sql);
 
				$liczby->execute(array(':liczba1' => $_REQUEST['liczba1'],
							           ':liczba2' => $_REQUEST['liczba2'],
								   ':liczba3' => $_REQUEST['liczba3']));
[PHP] pobierz, plaintext 

gdzie liczba1 to int, liczba2 to double, liczba3 to string. Podaje liczby i nie ma problemu zapisuje w bazie, więc w sumie zastanawiam się nad sensem stosowania bindValue.
Jak np podam test, test, test to zapisze 0, 0, test, jak 1test, 2test, 3test to zapisze 1, 2, 3, czyli w sumie execute ładnie parsuje.

smiady, zauważ, że tak czy siak w pewnym sensie filtrujesz te dane, tyle że nie przez bindvalue, a przez execute. Ważne, że nie puszcza się tych danych na ślepo, tak jak zapodał to Spawn w przykładzie.

OK, Michael2318 zgadam się. Tylko zwracam uwagę na to co napisał Damonsson, że execute wymusza zawsze string i nie powinno się tak robić, ale w sumie jak się poda int to nic złego się nie stanie

1. Wszystkie zmienne w $_GET/$_POST/$_COOKIE/$_REQUEST są stringami, chyba że wcześniej w kodzie nadpisałeś ich wartość.
2. PDOStatement::execute z argumentem to nic innego jak skrócona forma:

[PHP] pobierz, plaintext 
$stmt->bindValue(':abc', 'wartosc', PDO::PARAM_STR);
$stmt->bindValue(':def', 'wartość', PDO::PARAM_STR);
$stmt->bindValue(':ghi', 123, PDO::PARAM_STR); // taki zapis jest również poprawny
$stmt->execute();
[PHP] pobierz, plaintext