鍍金池/ 問答/PHP/ 使用mysqli的預處理語句及參數(shù)綁定就可以避免sql注入了么?

使用mysqli的預處理語句及參數(shù)綁定就可以避免sql注入了么?

這種情況下,還需要用mysqli_real_escape_string()及其它函數(shù)嗎?

回答
編輯回答
負我心

是的. 不需要.

2017年8月8日 01:50
編輯回答
玄鳥

設計之初,并不是為了防止注入的,但是這種參數(shù)化設計確實可以阻止絕大部分的注入,但是不敢保證全部或者將來不會被注入。

mysqli_的函數(shù)是MySqli類下方法的過程式寫法。PDO也是單獨的一套拓展,不必要使用mysqli_real_escape_string.

可以參考下文章 http://zhangxugg-163-com.itey... 雖然比較老,但是還是這個思想

2018年2月20日 19:24
編輯回答
絯孑氣

那叫參數(shù)化查詢。其實最早參數(shù)化查詢設計出來不是為了防止sql注入的

2017年11月19日 02:31
編輯回答
假灑脫

預處理查詢是解決sql注入的銀彈

2018年5月11日 13:08