1
如何防止SQL注入如果我在PHP程序中编写该网站?我可以使用准备的语句吗?或者存在其他方式?防止SQL注入 - PHP程序
例如:
$query ="INSERT INTO users (name,username,password,email,gender) VALUES ('$name','$username','$password','$email','$gender')";
$result = mysqli_query($connect,$query) or die ("Error : ". mysqli_error($connect));
使用PDO准备的查询 – Marcin
使用预处理语句。是的,可以在程序界面中使用它们。请参阅[文档中的示例](http://php.net/manual/en/mysqli.prepare.php#refsect1-mysqli.prepare-examples)。有一个OO例子和一个程序例子。 –
你得到了一个正确的答案。我的观点是PDO/mysql比mysqli更容易使用。无论哪种情况,使用参数和关于转义或sql注入的问题都基本消失。 – gview