简体中文(ZH-CN)English(EN)繁体中文(ZH-TW)日本語(JA)한국어(KO)Melayu(MS)Français(FR)Deutsch(DE)
Maison
Article
Questions et réponses
Cours
Sujet
Télécharger
Jeu
Dictionnaire
mises à jour récentes

Maison  >  Article  >  base de données  >  Les instructions préparées éliminent-elles le besoin de « mysql_real_escape_string() » en PHP ?

Les instructions préparées éliminent-elles le besoin de « mysql_real_escape_string() » en PHP ?

Linda Hamilton
Linda Hamiltonoriginal
2024-11-04 11:34:01533parcourir

Do Prepared Statements Eliminate the Need for `mysql_real_escape_string()` in PHP?

Déclarations préparées et échappement : un exercice d'équilibre

Lors de l'utilisation d'instructions préparées en PHP, faut-il toujours utiliser mysql_real_escape_string() pour éviter Injection SQL ? Examinons une requête spécifique et sa mise en œuvre pour répondre à cette question.

Requête et mise en œuvre

<code class="php">$consulta = $_REQUEST["term"] . "%";

$sql = $db->prepare('select location from location_job where location like ?');

$sql->bind_param('s', $consulta);
$sql->execute();
$sql->bind_result($location);

$data = array();

while ($sql->fetch()) {
    $data[] = array('label' => $location);
}
?>

**The Dilemma**

The provided query aims to fetch locations that match the term entered in the $_REQUEST["term"] variable. While the usage of a prepared statement is commendable for preventing SQL injections, the implementation raises a query: is mysql_real_escape_string() still necessary in this case?

**The Verdict: No, but a Refinement is Suggested**

When using prepared statements, as long as they are employed correctly, they effectively shield against SQL injections. In this instance, mysql_real_escape_string() is redundant. However, a minor improvement can enhance the code's clarity and efficiency.

Rather than using bind_param('s', $consulta), it's more straightforward to pass parameters through the execute method, especially when utilizing the '?' placeholder. The updated code would be:
</code>

$sql->execute([$consulta]);

Pourquoi c'est important

Les instructions préparées avec liaison de paramètres garantissent que les données externes ne peuvent pas manipuler la requête SQL. Cependant, n'oubliez pas que la liaison des paramètres SQL ne garantit pas à elle seule un affichage sécurisé au sein du HTML. Pour cela, il est crucial d'utiliser des fonctions telles que htmlspecialchars() avant de générer les résultats de la requête.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

php sql html for using this display
Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Article précédent:Pourquoi est-ce que j'obtiens une erreur « Mélange illégal de classements » dans MySQL ?Article suivant:Pourquoi est-ce que j'obtiens une erreur « Mélange illégal de classements » dans MySQL ?

Articles Liés

Voir plus