PDO bindParam->(':var', $var, PDO::PARAM_STR) - Hvorfor PDO::PARAM_STR ?

Prepared statement er mere sikkert fordi det beskytter effektivt mod SQL injection ved brug af databasens funktionalitet.

"real escape string" er et client side hack.

PDO understoetter mange forskellige databaser.

Og enten er der nogen databaser eller dem designede PDO ville forberede sig paa databaser, hvor det underliggende database API insisterer paa at faa en type angivet.

Tak for dit svar; og det giver god mening med din beskrivelse af hvorfor der er flere datatyper..
Men betyder det, at datatyperne er overflødige ved brug af MySQL?

Godt spoergsmaal. Jeg ved det ikke. Du har ikke mulighed for at teste det da der aktid angives en - default er PDO::PARAM_STR.

Bemaerk at mysqli ogsaa kraever at man angiver type. Men det er ikke helt de samme muligheder som ved PDO.

mysqli:

Character     Description
i     corresponding variable has type integer
d     corresponding variable has type double
s     corresponding variable has type string
b     corresponding variable is a blob and will be sent in packets

PDO:

PDO::PARAM_BOOL (integer)
    Represents a boolean data type.
PDO::PARAM_NULL (integer)
    Represents the SQL NULL data type.
PDO::PARAM_INT (integer)
    Represents the SQL INTEGER data type.
PDO::PARAM_STR (integer)
    Represents the SQL CHAR, VARCHAR, or other string data type.
PDO::PARAM_LOB (integer)
    Represents the SQL large object data type.

Her er hvordan det ser ud i Java med JDBC:

PreparedStatement ins = con.prepareStatement("INSERT INTO t VALUES(?,?)");
for(int i = 0; i < 5; i++) {
    ins.setInt(1, v[i]);
    ins.setString(2, s[i]);
    ins.executeUpdate();
}

Og i C# med ADO.NET:

MySqlCommand ins = new MySqlCommand("INSERT INTO t VALUES(?v,?s)", con);
ins.Parameters.Add("?v", MySqlDbType.Int32);
ins.Parameters.Add("?s", MySqlDbType.VarChar, 50);
for(int i = 0; i < 5; i++)
{
    ins.Parameters["?v"].Value = v[i];
    ins.Parameters["?s"].Value = s[i];
    ins.ExecuteNonQuery();
}

Alle har type med.

Når ja, det havde jeg faktisk glemt fra da jeg brugte mysqli (før du fortalte mig at der var noget der hed PDO).. Dengang kan jeg også huske at datatypen ikke påvirkede mit input..

Men tak for svarene og hjælpen. Du er velkommen til at smide et svar :)

svar

Tak for visningen af Java - men jeg har mildt sagt INGEN forstand på Java (endnu) :)

Min pointe var bare at man ogsaa i andre sprog angiver type.