准备查询与构造查询

 高傲的辫子 发布于 2023-02-12 10:12
  • sql
  • 注入
  • function
  • mysql
  • string
  • insert

    • 我看到经常重复的评论"总是使用准备好的查询来防止SQL注入攻击".

    使用准备好的查询和构造的查询之间的实际区别是什么,用户输入总是被清理?

    建造

    function quote($value) {
  global $db; 
  return "'" . mysqli_real_escape_string($db, $value) . "'";
}

$sql = "INSERT INTO foo (a, b) VALUES (" . quote($a) . "," . quote($b) . ")";

    准备

    $stmt = mysqli_prepare($db, "INSERT INTO foo (a, b) VALUES (?, ?)");
mysqli_stmt_bind_param($stmt, "ss", $a, $b);

    除了冗长和风格之外,我还有什么理由想要使用另一个?

    撰写答案
    今天,你开发时遇到什么问题呢?
    立即提问
    热门标签
    PHP1.CN | 中国最专业的PHP中文社区 | PNG素材下载 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
    Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有