准备好的语句和 SQL 注入：mysql_real_escape_string() 仍然有必要吗？

利用预处理语句：mysql_real_escape_string() 是否冗余？

在数据库交互领域，确保数据完整性并防止 SQL 注入攻击是最重要的最重要的。准备好的语句已成为保护数据库查询的强大解决方案。然而，一个挥之不去的问题是：在使用预备语句时，是否还需要使用 mysql_real_escape_string() ？

理解预备语句

预备语句通过分离来自用户提供的输入的 SQL 代码。通过使用占位符（“？”符号），准备好的语句可以防止 SQL 查询本身的损坏。执行时，占位符将替换为提供的输入，从而降低恶意代码被注入数据库的风险。

mysql_real_escape_string() 函数

传统上，mysql_real_escape_string () 用于处理字符串输入中的转义字符以防止 SQL 注入。它用转义的等效字符替换了潜在的恶意字符。但是，随着准备好的语句的出现，通常不需要此函数。

优化您的查询

在提供的示例查询中：

$consulta = $_REQUEST["term"]."%";
($sql = $db->prepare('select location from location_job where location like ?'));
$sql->bind_param('s', $consulta);
$sql->execute();
$sql->bind_result($location);

$data = array();

while ($sql->fetch()) {
    $data[] = array('label' => $location);
}

像上面这样的准备好的语句是一种安全有效的执行 SQL 查询的方法。您可以进行的一项小优化是利用execute() 方法接受一组值作为参数的能力：

$sql->execute([$consulta]);

结论

准备好的语句提供了与数据库交互时防止 SQL 注入攻击的全面解决方案。通过利用占位符，它们将用户输入与 SQL 代码分开，从而在大多数情况下使 mysql_real_escape_string() 变得多余。请记住正确处理输出转义，以防止在您的网页上执行恶意代码。

以上是准备好的语句和 SQL 注入：mysql_real_escape_string() 仍然有必要吗？的详细内容。更多信息请关注PHP中文网其他相关文章！