MySQLi准备是出于安全原因？

Question

所以，我开始使用MySQLi扩展，因为我听说它将来会被支持。我读了一下，而不是使用mysql_real_escape_string()出于安全原因，我必须使用prepare()，例如，当我在查询中使用$ _GET或$ _POST时。

这是真的吗？我发现prepare（）对于可以更改参数的SQL查询模板非常有用。所以脚本也可以在SQL级别上动态变化。它非常有用。但我无法找到有关其安全措施的真实信息。它真的逃脱了邪恶的东西，并防止注射？或者我必须在编程层面上处理它？

例如此代码是否安全？正如你可以看到它使用$_GET来填充模板，所以如果MySQLi准备工作不正常，那么它会非常危险。

$stmt = $mysqli->prepare('SELECT description,title FROM menu WHERE name = ?'); 

$stmt->bind_param('s', $n); 

$n = $_GET['b']; 

$stmt->bind_result($meta_description,$meta_title); 
$stmt->execute(); 

Answer 1

准备参数免疫注射，因为他们可以提供给SQL被解析服务器后，即没有办法，他们可以解释为SQL片段，这是一个SQL注入攻击的基地。

在你的榜样无论是在$_GET['b']变量将被服务器用于与name数据库中的字段进行比较，但有绝对没有办法服务器可能被欺骗，解释该文本为一个布尔方程，最终的声明，然后说删除，...

因此，通过设计它不提供SQL注入攻击面，这就是为什么使用预准备语句远远优于各种转义和输入清理方案。