準備好的語句還需要 mysql_real_escape_string() 嗎？

轉義準備語句中的字串：mysql_real_escape_string()的必要性

使用SQL 查詢時，透過轉義使用者提供的輸入來防範SQL 注入攻擊至關重要。問題出現了：在使用準備好的語句時，mysql_real_escape_string()函數仍然是必要的嗎？

在給定的查詢中：

<code class="php">$consulta = $_REQUEST["term"]."%";
$sql = $db->prepare('select location from location_job where location like ?');
$sql->bind_param('s', $consulta);
$sql->execute();
$sql->bind_result($location);

$data = array();

while ($sql->fetch()) {
    $data[] = array('label' => $location);
}</code>

準備好的語句透過將資料與查詢分離來增強 SQL 安全性，防止惡意注入。但是，它不會使 mysql_real_escape_string() 過時。

為了確保資料輸入不會改變查詢，對程式碼進行簡單修改可以進一步保護它：

<code class="php">$sql->execute([$consulta]);</code>

This更改利用「？」直接透過執行方法傳遞參數佔位符。但是，請記得在輸出之前透過 htmlspecialchars() 處理使用者輸入，以防禦 HTML 注入攻擊。

遵守正確的預先準備語句用法，您可以消除對 mysql_real_escape_string() 的需要並增強 SQL 查詢的安全性.

以上是準備好的語句還需要 mysql_real_escape_string() 嗎？的詳細內容。更多資訊請關注PHP中文網其他相關文章！