0

如果您选择的语言/数据库具有转义用户输入的内置函数(例如 mysql_real_escape_string),那么 SQL 参数化的参数是什么?mysql_real_escape_string 是否有可能在某些时候使应用程序易受攻击?

我使用参数化是因为我被告知/已经阅读过它是更好的方法,但我不只是想盲目地遵循。有什么见解吗?谢谢!

4

1 回答 1

1

参数化的参数是性能

如果您要多次执行以下语句:

insert into table (col1, col2) values (?, ?);

最好使用参数,因为查询只会被评估(解析、计划分析和计算)一次,并且会被执行多次。

于 2010-12-10T19:27:46.027 回答