Php 为一个查询使用准备好的mysql语句是否值得?
如果我有这样一个简单的准备好的查询:Php 为一个查询使用准备好的mysql语句是否值得?,php,mysql,mysqli,Php,Mysql,Mysqli,如果我有这样一个简单的准备好的查询: $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)"); $stmt->bind_param("sss", $firstname, $lastname, $email); // set parameters and execute $firstname = "John"; $lastname = "Doe"; $em
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");
$stmt->bind_param("sss", $firstname, $lastname, $email);
// set parameters and execute
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute();
在页面的生命周期中,我只执行一次查询
对于这样的查询,使用准备好的mysql语句值得吗 这里最需要的是参数化查询的安全性。用于执行参数化查询的API恰好与用于准备语句的API相同。或者换句话说,能够将查询结构与值提交分离的API一举两得: 将任意值安全传输到数据库引擎。 已解析查询的可重用性。 如果您只使用其中一个,那么这是值得的,您不需要同时使用这两个方面来证明使用PrepareAPI的合理性
手动转义值的替代方法总是更容易出错和冗长。您是在问性能问题吗?您试图解决的性能问题是什么?是的,可以防止SQL注入。绝对是的!如果是用户提供的数据POST、GET等,则为是。如果是静态数据,那么基本上你会问:安全性真的值得一次查询吗?。这就等于问我是否应该只在一条路上系一次安全带?。答案当然是肯定的。