在阅读了几篇关于 PDO 和 MySQLi 准备语句的文章之后,也已经阅读了 stackoverflow.com 上关于准备语句和 SQL 注入的数十个问题,人们都说正确使用准备语句,不再需要逃避用户的条目,但是我想我仍然担心有安全问题。
第一个问题: 如果我仍然使用 reg-exp 清理条目并在我准备好的语句中使用它们之前转义,这是否就像我超越了它?
第二个问题: 如果准备好的语句正在做有关 SQL 注入的工作-来自人们的评论和答案-为什么仍然存在受损的数据库以及越来越多的关于信用卡号码和密码的暴露数据,甚至来自“大”和好的被黑帐户- 知名网站?这是否意味着单独的准备好的陈述不是那么免疫,或者它是一个完全不同的话题?