При привязке параметров к оператору SQL вы можете указать тип параметра, например PDO::PARAM_STR
. Если вы этого не сделаете, введите значения по умолчанию PDO::PARAM_STR
. Каковы могут быть причины для конкретного задания типа каждого параметра? PDO:: PARAM_STR работает с любым параметром, как я знаю, по крайней мере, в MySQL. Я думаю, что даже с PDO:: PARAM_STR можно использовать даже с столбцами BLOB.
PDO:: PARAM_STR не вводит никакой SQL-инъекции, потому что у вас все еще есть подготовленные запросы.