1

为了数据库安全,我是否需要在准备好的语句和输入中的 mysql_real_escape_string() 中同时执行绑定参数?

谢谢!

4

1 回答 1

1

不,参数化查询本身就很好。只要您将所有变量数据保留在参数中,与查询分开传递,就可以在没有任何转义/反义处理的情况下获取它们。

一般来说,您不应该在输入阶段进行全面转义 - 在您实际将值注入到一个值之前,您不知道需要哪种转义(SQL,HTML,JS,...)那些字符串上下文。对所有输入数据应用各种转义只会导致输入处理混乱和不一致。

于 2013-03-05T00:47:20.807 回答