使用SQL 查詢時,透過轉義使用者提供的輸入來防範SQL 注入攻擊至關重要。問題出現了:在使用準備好的語句時,mysql_real_escape_string()函數仍然是必要的嗎?
在給定的查詢中:
<code class="php">$consulta = $_REQUEST["term"]."%"; $sql = $db->prepare('select location from location_job where location like ?'); $sql->bind_param('s', $consulta); $sql->execute(); $sql->bind_result($location); $data = array(); while ($sql->fetch()) { $data[] = array('label' => $location); }</code>
準備好的語句透過將資料與查詢分離來增強 SQL 安全性,防止惡意注入。但是,它不會使 mysql_real_escape_string() 過時。
為了確保資料輸入不會改變查詢,對程式碼進行簡單修改可以進一步保護它:
<code class="php">$sql->execute([$consulta]);</code>
This更改利用「?」直接透過執行方法傳遞參數佔位符。但是,請記得在輸出之前透過 htmlspecialchars() 處理使用者輸入,以防禦 HTML 注入攻擊。
遵守正確的預先準備語句用法,您可以消除對 mysql_real_escape_string() 的需要並增強 SQL 查詢的安全性.
以上是準備好的語句還需要 mysql_real_escape_string() 嗎?的詳細內容。更多資訊請關注PHP中文網其他相關文章!