> 데이터 베이스 > MySQL 튜토리얼 > 준비된 명령문에 `mysql_real_escape_string()`이 필요합니까?

준비된 명령문에 `mysql_real_escape_string()`이 필요합니까?

Susan Sarandon
풀어 주다: 2024-11-02 20:11:30
원래의
206명이 탐색했습니다.

Do I Need `mysql_real_escape_string()` with Prepared Statements?

Prepared 문에 mysql_real_escape_string() 함수가 필요합니까?

주어진 쿼리와 같이 준비된 문을 활용하는 경우:

<code class="php">$sql = $db->prepare('select location from location_job where location like ?');

$sql->bind_param('s', $consulta);
$sql->execute();
$sql->bind_result($location);</code>
로그인 후 복사

prepared 문은 입력 내의 특수 문자를 이스케이프하여 SQL 주입 공격을 방지하는 안전한 방법을 제공하므로 mysql_real_escape_string() 함수는 필요하지 않습니다.

쿼리 개선을 위한 한 가지 제안은 ' ?' 자리 표시자를 사용하면 실행 메소드를 통해 매개변수를 더욱 편리하게 전달할 수 있습니다.

<code class="php">$sql->execute([$consulta]);</code>
로그인 후 복사

그러나 Cross-Site Scripting 취약점을 방지하려면 표시하기 전에 htmlspecialchars()를 사용하여 사용자 입력을 삭제해야 합니다.

위 내용은 준비된 명령문에 `mysql_real_escape_string()`이 필요합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
저자별 최신 기사
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿