0
我看到很多關於插入MySQL數據庫的文章。他們中的大部分似乎忘記了我們正在處理的用戶輸入。最好的做法是將數據插入表格中。 mysqli_real_escape_string
會好嗎?或者使用準備好的語句是一個更好的選擇,也許兩者都有?MySQL插入不可信數據
我看到很多關於插入MySQL數據庫的文章。他們中的大部分似乎忘記了我們正在處理的用戶輸入。最好的做法是將數據插入表格中。 mysqli_real_escape_string
會好嗎?或者使用準備好的語句是一個更好的選擇,也許兩者都有?MySQL插入不可信數據
mysqli_real_escape_string
是好的,但並不總是安全的準備好聲明。
mysql_real_escape_string()
容易產生影響addslashes()
的同類問題。
所以使用準備好的語句好得多。
逃跑並不好。使用更少。使用準備的參數化查詢。 –