我应该使用mysqli_real_escape_string还是应该使用准备好的语句?
我已经看到一个教程现在解释准备好的语句,但我已经看到它们做同样的事情,mysqli_real_escape_string但它使用更多的行
准备好的陈述有什么好处吗?你认为最好的使用方法是什么?
问问题
9839 次
3 回答
4
使用prepared statements,因为使用后您不必使用 mysqli_real_escape_string. prepared statements默认情况下这样做。
于 2013-04-03T11:39:04.640 回答
4
仅准备好的陈述。因为无处可逃是一回事。事实上,逃逸与任何注射都没有任何关系,不应该用于保护。
虽然准备好的语句在适用时提供 100% 的安全性。
于 2013-04-03T11:45:16.237 回答
0
很容易忘记(可能不是您,而是与您一起工作的其他开发人员)逃避,而错误地使用准备好的语句来导致漏洞非常困难。所以准备好的陈述。
于 2013-04-03T11:39:12.260 回答