Adakah mysql_real_escape_string() Masih Diperlukan dengan Penyata Disediakan?

Melepaskan Rentetan dalam Pernyataan yang Disediakan: Keperluan mysql_real_escape_string()

Apabila bekerja dengan pertanyaan SQL, adalah penting untuk melindungi daripada serangan suntikan SQL dengan melarikan diri input yang disediakan pengguna . Timbul persoalan: adakah fungsi mysql_real_escape_string() masih diperlukan apabila menggunakan pernyataan yang disediakan?

Dalam pertanyaan yang diberikan:

<code class="php">$consulta = $_REQUEST["term"]."%";
$sql = $db->prepare('select location from location_job where location like ?');
$sql->bind_param('s', $consulta);
$sql->execute();
$sql->bind_result($location);

$data = array();

while ($sql->fetch()) {
    $data[] = array('label' => $location);
}</code>

Pernyataan yang disediakan meningkatkan keselamatan SQL dengan memisahkan data daripada pertanyaan, menghalang suntikan berniat jahat. Walau bagaimanapun, ia tidak menjadikan mysql_real_escape_string() usang.

Untuk memastikan input data tidak mengubah pertanyaan, pengubahsuaian mudah dalam kod anda boleh melindunginya lagi:

<code class="php">$sql->execute([$consulta]);</code>

Ini change pass parameter terus melalui kaedah execute, menggunakan '?' pemegang tempat. Walau bagaimanapun, ingat untuk memproses input pengguna melalui htmlspecialchars() sebelum mengeluarkan untuk mempertahankan terhadap serangan suntikan HTML.

Dengan mematuhi penggunaan pernyataan yang disediakan dengan betul, anda menghapuskan keperluan untuk mysql_real_escape_string() dan meningkatkan keselamatan pertanyaan SQL anda .

Atas ialah kandungan terperinci Adakah mysql_real_escape_string() Masih Diperlukan dengan Penyata Disediakan?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!