Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
在 php.ini 中使用 PDO 时,何时使用准备和绑定,我有点困惑。
在下面的代码中,我应该改用 prepare 吗?如果我使用此代码,$name 会被转义,还是需要使用 mysql_real_escape_string?
$stmt = $db->query("UPDATE matches SET playerStatus = 4 WHERE name='$name' ");
谢谢
我有点困惑什么时候走很长的路并使用准备和绑定
这是一种健壮、难以搞砸、易于阅读、易于维护的方法。不要认为它是“漫长的道路”。
在下面的代码中,我应该改用 prepare 吗?
是的。始终使用允许绑定参数的东西。
如果我使用此代码,$name 是否会被转义,
所写的问题中的代码不会逃逸$query。您只是将字符串混合在一起。数据库代码无法知道您编写的 SQL 是什么以及不安全的外部数据是什么。
$query
还是我需要使用 mysql_real_escape_string?
您需要使用允许绑定参数的东西。
我一直是一个编写干净易读的代码的人。话虽如此,我无法确定使用更多或更少<?php标签时处理速度是否有任何差异。下面是一些代码进行比较:
<?php
首选代码:
<?php while($condition): ?> <?php if($anotherCondition): ?&g