php – mysqli预处理语句和mysqli_real_escape_string
发布时间:2020-12-13 18:18:04 所属栏目:PHP教程 来源:网络整理
导读:我目前正在使用 mysqli php扩展. 传统上我使用mysqli_real_escape_string来逃避用户输入.但是,我正在考虑更改代码(希望尽可能少的步骤)来使用预准备语句. 我想明确这一点 – 假设我使用预处理语句来绑定我的所有变量,我可以确信sql注入是不可能的吗? (并完
|
我目前正在使用
mysqli php扩展.
传统上我使用mysqli_real_escape_string来逃避用户输入.但是,我正在考虑更改代码(希望尽可能少的步骤)来使用预准备语句. 我想明确这一点 – 假设我使用预处理语句来绑定我的所有变量,我可以确信sql注入是不可能的吗? (并完全免除mysqli_real_escape_string?) 谢谢
如果正确绑定所有变量,可以大大降低SQL注入的风险.如果您动态创建SQL,仍然可以获取SQL注入,例如:
'SELECT * FROM ' . $tablename . ' WHERE id = ?' 但如果你避免这样的事情,你就不会有问题. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |