php – 如何防止二阶SQL攻击？

准备好的陈述是否仍然可以防范只要我确定我一直使用它们？或者我是否需要采取更多预防措施？我还容易受到XSS攻击吗？

如果你们都不介意的话,我还有一些问题,只是出于好奇.

>是否可以使用仅包含字母数字字符,空格和短划线的SQL注入？喜欢select * from name =’$some_variable’.我见过的所有例子似乎都需要其他字符,如分号,引号或双短划线.
>我已经阅读了许多SQL示例,其中可以将unsafe变量设置为形成另一个语句,例如

$foo = "foo'); INSERT INTO users (name) VALUES ('hi";
$bar = ("INSERT INTO users (name) VALUES ('$foo')");

但我刚刚测试过,mysql_query甚至不允许多个语句.我知道您仍然可以在1个语句中进行注射,但是我可以确认您在PHP中没有多个语句的问题吗？