PHP Mysqli-参数绑定和转义字符串?
为了数据库安全,我是否需要在准备好的语句中绑定参数,并在输入上执行mysql_real_escape_string()PHP Mysqli-参数绑定和转义字符串?,php,mysql,sql,security,Php,Mysql,Sql,Security,为了数据库安全,我是否需要在准备好的语句中绑定参数,并在输入上执行mysql_real_escape_string() 谢谢 不,参数化查询本身就可以了。只要将所有变量数据保存在参数中,并与查询分开传递,就可以在不进行任何转义/取消转义处理的情况下提取它们 一般来说,您不应该在输入阶段覆盖转义——在实际将值注入其中一个字符串上下文之前,您不知道需要什么类型的转义(SQL、HTML、JS等等)。对所有输入数据应用各种转义只会导致输入处理混乱和不一致。不,参数化查询本身就可以了。只要将所有变量数据保
谢谢 不,参数化查询本身就可以了。只要将所有变量数据保存在参数中,并与查询分开传递,就可以在不进行任何转义/取消转义处理的情况下提取它们
一般来说,您不应该在输入阶段覆盖转义——在实际将值注入其中一个字符串上下文之前,您不知道需要什么类型的转义(SQL、HTML、JS等等)。对所有输入数据应用各种转义只会导致输入处理混乱和不一致。不,参数化查询本身就可以了。只要将所有变量数据保存在参数中,并与查询分开传递,就可以在不进行任何转义/取消转义处理的情况下提取它们
一般来说,您不应该在输入阶段覆盖转义——在实际将值注入其中一个字符串上下文之前,您不知道需要什么类型的转义(SQL、HTML、JS等等)。对所有输入数据应用各种转义只会导致输入处理混乱和不一致。否!绑定参数会自动在字符串中转义引号,这就是它们的用途:因此,除非您希望在保存的值中使用错误的转义字符,否则不要自己这么做!绑定参数会自动在字符串中转义引号,这就是它们的用途:所以不要自己做,除非您希望在保存的值中使用错误的转义字符