如果您选择的语言/数据库具有转义用户输入的内置函数(例如 mysql_real_escape_string),那么 SQL 参数化的参数是什么?mysql_real_escape_string 是否有可能在某些时候使应用程序易受攻击?
我使用参数化是因为我被告知/已经阅读过它是更好的方法,但我不只是想盲目地遵循。有什么见解吗?谢谢!
问问题
342 次
如果您选择的语言/数据库具有转义用户输入的内置函数(例如 mysql_real_escape_string),那么 SQL 参数化的参数是什么?mysql_real_escape_string 是否有可能在某些时候使应用程序易受攻击?
我使用参数化是因为我被告知/已经阅读过它是更好的方法,但我不只是想盲目地遵循。有什么见解吗?谢谢!