Maison > base de données > tutoriel mysql > le corps du texte

Ai-je besoin de `mysql_real_escape_string()` avec les instructions préparées ?

Susan Sarandon
Libérer: 2024-11-02 20:11:30
original
191 Les gens l'ont consulté

Do I Need `mysql_real_escape_string()` with Prepared Statements?

La fonction mysql_real_escape_string() est-elle requise avec les instructions préparées ?

Lors de l'utilisation d'instructions préparées comme dans la requête donnée :

<code class="php">$sql = $db->prepare('select location from location_job where location like ?');

$sql->bind_param('s', $consulta);
$sql->execute();
$sql->bind_result($location);</code>
Copier après la connexion

La fonction mysql_real_escape_string() n'est pas nécessaire car les instructions préparées fournissent un moyen sécurisé d'empêcher les attaques par injection SQL en échappant à tout caractère spécial dans l'entrée.

Une suggestion pour améliorer la requête est d'utiliser le ' ?' espace réservé, vous permettant de transmettre les paramètres plus facilement via la méthode d'exécution :

<code class="php">$sql->execute([$consulta]);</code>
Copier après la connexion

Cependant, assurez-vous de nettoyer les entrées de l'utilisateur à l'aide de htmlspecialchars() avant de les afficher pour éviter les vulnérabilités de scripts intersites.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

source:php.cn
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Derniers articles par auteur
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal