准备好的语句则没有。绑定参数可保护语句(而不是整个数据库)的安全,只要所有不可信数据都通过参数传递而不是插值到语句中即可。当人们使用准备好的语句时,他们几乎总是也使用绑定的参数,因此这两个名称通常会混合在一起。
- 准备陈述
- 以变量作为附加参数的运行语句
mysql_real_escape_string几乎总是可以完成这项工作,但是由于它在流程中增加了其他步骤,因此更容易出现人为错误。
- 转义 每个 变量
- 将变量连接到SQL语句
- 运行语句
欢迎分享,转载请注明来源:内存溢出
准备好的语句则没有。绑定参数可保护语句(而不是整个数据库)的安全,只要所有不可信数据都通过参数传递而不是插值到语句中即可。当人们使用准备好的语句时,他们几乎总是也使用绑定的参数,因此这两个名称通常会混合在一起。
mysql_real_escape_string几乎总是可以完成这项工作,但是由于它在流程中增加了其他步骤,因此更容易出现人为错误。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)