进一步说明:
我使用自定义 PHP / MySQL 函数来执行我的查询(动态 MySQLi,而不是准备语句)。
如果我在我的函数中包含一个代码,用他们的 HTML 代码替换以下字符 \ < > ' " - ; ( ),在执行查询之前,是否有可能绕过这个安全措施?如果是这样,那么请,怎么解释?
此外,我对运行准备好的语句或任何其他类型的转义脚本或函数不感兴趣。此外,我最初会将输入字符串转换为 UTF-8。
PS:我知道这个问题有很多版本,有争议和争议,但我搜索并没有找到满意的答案。
预先感谢您的明智回答。