以前可能已经问过类似的问题,并为此感到抱歉。需要确保我正确地防止 SQL 注入。
我刚刚将我的 php sql 语句转换为 pdo 语句。对于我曾经使用的旧 sql 查询mysql_real_escape_string
,strip_tags()
也许htmlenteties()
(不确定 id 是否为 html)。
是否有必要在 pdo 语句中使用这样的东西。听说有些地方pdo不需要这个。什么是真/假?
并且:我一直习惯于编写如下第一个示例的查询:
SELECT `id` , `password` FROM `users` WHERE `username` = '$username'
SELECT id, password FROM users WHERE username = '$username'
示例 1 比示例 2 更安全(来自 sql 注入)还是只是浪费时间?