我需要有準備好的語句的「mysql_real_escape_string()」嗎?

Susan Sarandon
發布: 2024-11-02 20:11:30
原創
190 人瀏覽過

Do I Need `mysql_real_escape_string()` with Prepared Statements?

預準備語句是否需要 mysql_real_escape_string() 函式?

在給定查詢中使用預準備語句時:

<code class="php">$sql = $db->prepare('select location from location_job where location like ?');

$sql->bind_param('s', $consulta);
$sql->execute();
$sql->bind_result($location);</code>
登入後複製

mysql_real_escape_string() 函數不是必需的,因為準備好的語句提供了一種透過轉義輸入中的任何特殊字元來防止SQL 注入攻擊的安全方法。

改進查詢的一個建議是利用 ' ?佔位符,使您能夠更方便地透過執行方法傳遞參數:

<code class="php">$sql->execute([$consulta]);</code>
登入後複製

但是,請確保在顯示使用者輸入之前使用 htmlspecialchars() 對其進行清理,以防止跨站腳本漏洞。

以上是我需要有準備好的語句的「mysql_real_escape_string()」嗎?的詳細內容。更多資訊請關注PHP中文網其他相關文章!

來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
作者最新文章
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板