Rumah >pangkalan data >tutorial mysql >Adakah Penyata yang Disediakan Menghapuskan Keperluan untuk `mysql_real_escape_string()` dalam PHP?
Penyata Disediakan dan Melarikan Diri: Akta Pengimbangan
Apabila menggunakan pernyataan yang disediakan dalam PHP, adakah seseorang masih perlu menggunakan mysql_real_escape_string() untuk mengelakkan Suntikan SQL? Mari kita periksa pertanyaan khusus dan pelaksanaannya untuk menjawab soalan ini.
Pertanyaan dan Pelaksanaan
<code class="php">$consulta = $_REQUEST["term"] . "%"; $sql = $db->prepare('select location from location_job where location like ?'); $sql->bind_param('s', $consulta); $sql->execute(); $sql->bind_result($location); $data = array(); while ($sql->fetch()) { $data[] = array('label' => $location); } ?> **The Dilemma** The provided query aims to fetch locations that match the term entered in the $_REQUEST["term"] variable. While the usage of a prepared statement is commendable for preventing SQL injections, the implementation raises a query: is mysql_real_escape_string() still necessary in this case? **The Verdict: No, but a Refinement is Suggested** When using prepared statements, as long as they are employed correctly, they effectively shield against SQL injections. In this instance, mysql_real_escape_string() is redundant. However, a minor improvement can enhance the code's clarity and efficiency. Rather than using bind_param('s', $consulta), it's more straightforward to pass parameters through the execute method, especially when utilizing the '?' placeholder. The updated code would be: </code>
$sql->execute([$consulta]);
Mengapa Ia Penting
Pernyataan yang disediakan dengan pengikatan parameter memastikan data luaran tidak boleh memanipulasi pertanyaan SQL. Walau bagaimanapun, ingat bahawa pengikatan parameter SQL sahaja tidak menjamin paparan selamat dalam HTML. Untuk itu, adalah penting untuk menggunakan fungsi seperti htmlspecialchars() sebelum mengeluarkan hasil pertanyaan.
Atas ialah kandungan terperinci Adakah Penyata yang Disediakan Menghapuskan Keperluan untuk `mysql_real_escape_string()` dalam PHP?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!