我明白，当用户提交的数据是在徘徊，但我的问题是，这是否适用于用户TAMPERABLE数据参数化查询是必不可少的？

因此，如果我们有一个网址，如” ... /？ID = 1" ，就必须使用$ id来准备的陈述或将URL编码删除威胁？

乔

你为什么不使用那里是外部/可变输入所有的情况准备的语句/ paramaterised查询？

你可以信任的唯一的疑问是那些每一个元素都硬编码，或者从你的应用程序中的硬编码的元素的。

为此，你必须从自己的数据库中抽取甚至没有信任的数据。 此计为外部/可变数据。 复杂的攻击可以使用比简单更载体“修改查询字符串参数”。

我认为额外的代码开销很小的量，它是完全值得的心态，你将知道你的查询得到和平的保护。

URL编码将不会删除威胁。

凡是由用户可触摸应被视为不安全的和潜在的威胁。 您查询的id这样没有验证它，只是推搡它直接进入查询中也能导致同样的注入问题而不愿使用PDO的。