4

免责声明

请原谅我的无知,我已经编写 C# 超过 12 年了,我对 .NET 框架和 OO 编程非常熟悉,而且我在企业应用程序方面有很好的背景,但这是我第一次接触php。

问题

好吧,所以我试图弄清楚如何prepare使用该mysql_query功能发出一个,但我无法将两个和两个放在一起。现在我这样连接:

mysql_connect('xxx.x.x.x:xxxx', 'x', 'x');
mysql_select_db('x');

这是成功的。

现在,我想插入一些数据,所以我正在查看mysql_query函数,但不知道如何发送参数化查询以防止 SQL 注入。我的代码目前如下所示:

mysql_query("INSERT INTO users (email, password, ...)
    VALUES (:email, :password, :...)

但是如何将值数组传递给它呢?

附加问题

如果我使用mysql_real_escape_string通过用户输入收到的每个值,我是否需要担心发出参数化查询?

4

2 回答 2

3

您最好使用PDO(或 mysqli)来执行此操作。但是,您会在bobby-tables 网站上找到使用 PDO、mysqli、adodb 等的示例。我建议您阅读bindValue()的 PDO 文档,这将为您提供所需的内容。

于 2012-12-08T01:52:55.143 回答
2

正如我的评论中所述, mysql_ 函数已被弃用。您应该使用允许参数绑定以防止 SQL 注入的 mysqli_ 或 PDO。

于 2012-12-08T02:03:10.007 回答