ホームページ > データベース > mysql チュートリアル > プリペアドステートメントには「mysql_real_escape_string()」が必要ですか?

プリペアドステートメントには「mysql_real_escape_string()」が必要ですか?

Susan Sarandon
リリース: 2024-11-02 20:11:30
オリジナル
244 人が閲覧しました

Do I Need `mysql_real_escape_string()` with Prepared Statements?

プリペアド ステートメントでは mysql_real_escape_string() 関数が必要ですか?

指定されたクエリのようにプリペアド ステートメントを利用する場合:

<code class="php">$sql = $db->prepare('select location from location_job where location like ?');

$sql->bind_param('s', $consulta);
$sql->execute();
$sql->bind_result($location);</code>
ログイン後にコピー

準備されたステートメントは入力内の特殊文字をエスケープすることで SQL インジェクション攻撃を防ぐ安全な方法を提供するため、mysql_real_escape_string() 関数は必要ありません。

クエリを改善するための 1 つの提案は、' ?'プレースホルダーを使用すると、execute メソッドを通じてパラメータをより簡単に渡すことができます:

<code class="php">$sql->execute([$consulta]);</code>
ログイン後にコピー

ただし、クロスサイト スクリプティングの脆弱性を防ぐため、表示する前に htmlspecialchars() を使用してユーザー入力をサニタイズしてください。

以上がプリペアドステートメントには「mysql_real_escape_string()」が必要ですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート