준비된 명령문에 `mysql_real_escape_string()`이 필요합니까?

Prepared 문에 mysql_real_escape_string() 함수가 필요합니까?

주어진 쿼리와 같이 준비된 문을 활용하는 경우:

<code class="php">$sql = $db->prepare('select location from location_job where location like ?');

$sql->bind_param('s', $consulta);
$sql->execute();
$sql->bind_result($location);</code>

prepared 문은 입력 내의 특수 문자를 이스케이프하여 SQL 주입 공격을 방지하는 안전한 방법을 제공하므로 mysql_real_escape_string() 함수는 필요하지 않습니다.

쿼리 개선을 위한 한 가지 제안은 ' ?' 자리 표시자를 사용하면 실행 메소드를 통해 매개변수를 더욱 편리하게 전달할 수 있습니다.

<code class="php">$sql->execute([$consulta]);</code>

그러나 Cross-Site Scripting 취약점을 방지하려면 표시하기 전에 htmlspecialchars()를 사용하여 사용자 입력을 삭제해야 합니다.

위 내용은 준비된 명령문에 `mysql_real_escape_string()`이 필요합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!