0

目前我正在使用这个:

$result=mysqli_query($sqlHp,"UPDATE database.account SET coins='500' WHERE id='".$_SESSION["userid"]."'");

现在我的问题是,我应该将该查询更改为:

$result=mysqli_query($sqlHp,"UPDATE database.account SET coins='500' WHERE id='".mysqli_real_escape_string($sqlHp,$_SESSION["userid"])."'");

或者当我使用 SESSION 时不需要 mysqli_real_escape_string?

4

1 回答 1

2

我建议使用带有绑定变量的准备好的语句,但如果你想使用这种形式:

  • int如果该值应该是整数,我将转换为(并删除引号...);
  • 如果值是字符串,您应该使用mysqli_real_escape_string并引用该值,即使它来自受信任的来源(如会话),因为字符串可能包含'字符并且会破坏您的查询。
于 2013-11-01T00:57:39.137 回答