PHP参数化查询使用mysql\u查询函数和安全性? 免责声明
请原谅我的无知,我写C#已经12年多了,我对.NET框架和OO编程非常熟悉,我在企业应用程序方面有很好的背景,但这是我第一次接触PHP 问题: 好的,我正试图找出如何使用PHP参数化查询使用mysql\u查询函数和安全性? 免责声明,php,mysql,Php,Mysql,请原谅我的无知,我写C#已经12年多了,我对.NET框架和OO编程非常熟悉,我在企业应用程序方面有很好的背景,但这是我第一次接触PHP 问题: 好的,我正试图找出如何使用mysql\u query函数发出prepare,但我无法将二和二放在一起。现在我这样连接: mysql_connect('xxx.x.x.x:xxxx', 'x', 'x'); mysql_select_db('x'); mysql_query("INSERT INTO users (email, password
mysql\u query
函数发出prepare
,但我无法将二和二放在一起。现在我这样连接:
mysql_connect('xxx.x.x.x:xxxx', 'x', 'x');
mysql_select_db('x');
mysql_query("INSERT INTO users (email, password, ...)
VALUES (:email, :password, :...)
这是成功的
现在,我想插入一些数据,所以我正在查看mysql\u query
函数,只是不知道如何发送参数化查询来防止SQL注入。我的代码当前如下所示:
mysql_connect('xxx.x.x.x:xxxx', 'x', 'x');
mysql_select_db('x');
mysql_query("INSERT INTO users (email, password, ...)
VALUES (:email, :password, :...)
但如何将值数组传递给它?
补充问题
如果我在通过用户输入接收的每个值上使用
mysql\u real\u escape\u string
,我是否需要担心发出参数化查询?最好使用(或mysqli)来执行此操作。但是,您可以在上找到使用PDO、mysqli、adodb和其他工具的示例。我建议您阅读PDO文档,它将为您提供所需的信息。如我在评论中所述,mysql_uu函数正在被弃用。您应该使用mysqli_uo或PDO,它允许参数绑定以防止SQL注入 规则#0,不要使用mysql
函数,因为它们是。您可以使用mysqli\uuuu
或PDO
@njk,这是一些很好的信息!爱的博客顺便说一句,书签!现在,回答这个问题,我会这样做。