首頁  >  文章  >  資料庫  >  準備好的語句還需要 mysql_real_escape_string() 嗎?

準備好的語句還需要 mysql_real_escape_string() 嗎?

Linda Hamilton
Linda Hamilton原創
2024-11-02 07:50:02793瀏覽

Is mysql_real_escape_string() Still Necessary with Prepared Statements?

轉義準備語句中的字串:mysql_real_escape_string()的必要性

使用SQL 查詢時,透過轉義使用者提供的輸入來防範SQL 注入攻擊至關重要。問題出現了:在使用準備好的語句時,mysql_real_escape_string()函數仍然是必要的嗎?

在給定的查詢中:

<code class="php">$consulta = $_REQUEST["term"]."%";
$sql = $db->prepare('select location from location_job where location like ?');
$sql->bind_param('s', $consulta);
$sql->execute();
$sql->bind_result($location);

$data = array();

while ($sql->fetch()) {
    $data[] = array('label' => $location);
}</code>

準備好的語句透過將資料與查詢分離來增強 SQL 安全性,防止惡意注入。但是,它不會使 mysql_real_escape_string() 過時。

為了確保資料輸入不會改變查詢,對程式碼進行簡單修改可以進一步保護它:

<code class="php">$sql->execute([$consulta]);</code>

This更改利用「?」直接透過執行方法傳遞參數佔位符。但是,請記得在輸出之前透過 htmlspecialchars() 處理使用者輸入,以防禦 HTML 注入攻擊。

遵守正確的預先準備語句用法,您可以消除對 mysql_real_escape_string() 的需要並增強 SQL 查詢的安全性.

以上是準備好的語句還需要 mysql_real_escape_string() 嗎?的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn