1
对于数据库安全性,我是否需要在准备好的语句中使用BOTH绑定参数,并在输入中使用mysql_real_escape_string()?PHP Mysqli - 参数绑定和escape_string?
谢谢!
A
回答
1
不,参数化查询可以自行处理。只要您将所有可变数据保存在参数中,并从查询中单独传递,则可以在不进行任何转义/ unescape处理的情况下提取它们。
你不应该在输入阶段总括地逃避 - 你不知道在实际注入点之前你需要什么类型的转义(SQL,HTML,JS,...)一个值放入其中一个字符串上下文中。对所有输入数据应用各种转义只会导致输入处理错乱和不一致。
相关问题
- 1. PHP MySQLi为数组绑定参数
- 2. MySQLi绑定参数错误
- 3. 错误绑定参数在PHP /库MySQLi
- 4. mysqli绑定参数函数
- 5. 绑定参数MySQl和PHP
- 6. PDO与MYSQLI,PrepaStatemens和绑定参数
- 7. Mysqli绑定 - 未知数量的参数
- 8. 在MySQLi(PHP)中绑定参数和转义字符串
- 9. mysqli绑定参数的错误
- 10. MySQLi为数组绑定参数IN
- 11. 用mysqli bind_param动态绑定参数
- 12. 绑定参数错误(PHP)
- 13. 动态绑定$ bind_param()中的参数; Mysqli
- 14. 使用call_user_func_array的MySQLI绑定参数
- 15. 范围和MySQLi绑定
- 16. PHP和MYSQLi - 使用循环绑定参数并存储在数组中?
- 17. PHP - 在mysqli绑定参数中的相同值
- 18. 如何在PHP中动态绑定mysqli bind_param参数?
- 19. PHP MySQLi准备好的绑定参数查询是否安全?
- 20. PHP绑定参数$ mysqli-> prepare()语句不起作用
- 21. Mysqli绑定参数 - 变量数量不匹配参数数量
- 22. 可以使用MYSQLI和PHP将多个值绑定为单个参数吗?
- 23. PHP,mysqli的,如何从列绑定参数和使用他们的
- 24. Mysqli和绑定多个值
- 25. PHP:使用Call_User_Func和绑定参数的“预期值为参考”
- 26. 未定义变量:mysqli,致命错误:调用成员函数escape_string()null
- 27. PHP Mysqli错误:mysqli_query()期望参数1是mysqli,布尔给定
- 28. 大规模PARAM在PHP绑定/库MySQLi
- 29. 如何使用mysqli查询绑定参数
- 30. 的mysqli:绑定param其中搜索参数是有条件的
不!绑定参数会自动在字符串中转义引号,这就是他们的目的:所以不要自己动手,除非你想在保存的值中使用错误的转义字符 – 2013-03-04 23:44:06