我目前正在使用
mysqli PHP扩展.
传统上我使用MysqLi_real_escape_string来逃避用户输入.但是,我正在考虑更改代码(希望尽可能少的步骤)来使用预准备语句.
我想明确这一点 – 假设我使用预处理语句来绑定我的所有变量,我可以确信sql注入是不可能的吗? (并完全免除MysqLi_real_escape_string?)
谢谢
如果正确绑定所有变量,可以大大降低sql注入的风险.如果您动态创建sql,仍然可以获取sql注入,例如:
'SELECT * FROM ' . $tablename . ' WHERE id = ?'
但如果你避免这样的事情,你就不会有问题.
原文地址:https://www.jb51.cc/php/135302.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
