问题描述
我目前正在使用 mysqli php 扩展.
I'm currently using the mysqli php extension.
传统上我使用 mysqli_real_escape_string 来转义用户输入.但是,我正在考虑更改代码(希望以尽可能少的步骤)以使用准备好的语句.
Traditionally I have used mysqli_real_escape_string to escape user input. However I am looking at changing over the code (hopefully in as few steps as possible) to use prepared statements.
我想清楚这一点 - 如果我使用准备好的语句来绑定我的所有变量,我可以确信 sql 注入是不可能的吗?(并完全免除 mysqli_real_escape_string?)
I want to be clear on this - provided I use prepared statements to bind all of my variables, can I be confident that sql injection is impossible? (And dispense completely with mysqli_real_escape_string?)
谢谢
推荐答案
如果您正确绑定所有变量,您可以显着降低 SQL 注入的风险.如果您动态创建 SQL,仍然有可能获得 SQL 注入,例如:
If you correctly bind all your variables you can dramatically reduce the risk of SQL injection. It is still possible to get an SQL injection if you create SQL dynamically for example:
'SELECT * FROM ' . $tablename . ' WHERE id = ?'
但如果你避免这样的事情,你就不太可能遇到问题.
But if you avoid things like this it is unlikely you will have problems.
这篇关于mysqli 准备好的语句和 mysqli_real_escape_string的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持跟版网!
大气响应式网络建站服务公司织梦模板
高端大气html5设计公司网站源码
织梦dede网页模板下载素材销售下载站平台(带会员中心带筛选)
财税代理公司注册代理记账网站织梦模板(带手机端)
成人高考自考在职研究生教育机构网站源码(带手机端)
高端HTML5响应式企业集团通用类网站织梦模板(自适应手机端)