mysqli_stmt ::bind_param是否隐式使用mysqli::real_escape_string?还是我们必须手动完成?
问问题
219 次
1 回答
1
既不mysqli_stmt::bind_param是mysqli::real_escape_string隐含的,也不是你必须手动做的。
首先,逃避不是安全的同义词。虽然绑定是。
所以,这是无可比拟的事情。解释请参考我之前的回答:Properly Escaping with MySQLI | 查询准备好的语句
接下来,bind_param 无论如何都不使用转义 - 它是不同的机制
请参考另一个我的完整解释的答案:准备好的语句如何防止 SQL 注入攻击?
于 2013-01-15T16:27:05.307 回答