Apabila bekerja dengan pertanyaan SQL, adalah penting untuk melindungi daripada serangan suntikan SQL dengan melarikan diri input yang disediakan pengguna . Timbul persoalan: adakah fungsi mysql_real_escape_string() masih diperlukan apabila menggunakan pernyataan yang disediakan?
Dalam pertanyaan yang diberikan:
<code class="php">$consulta = $_REQUEST["term"]."%";
$sql = $db->prepare('select location from location_job where location like ?');
$sql->bind_param('s', $consulta);
$sql->execute();
$sql->bind_result($location);
$data = array();
while ($sql->fetch()) {
$data[] = array('label' => $location);
}</code>Pernyataan yang disediakan meningkatkan keselamatan SQL dengan memisahkan data daripada pertanyaan, menghalang suntikan berniat jahat. Walau bagaimanapun, ia tidak menjadikan mysql_real_escape_string() usang.
Untuk memastikan input data tidak mengubah pertanyaan, pengubahsuaian mudah dalam kod anda boleh melindunginya lagi:
<code class="php">$sql->execute([$consulta]);</code>
Ini change pass parameter terus melalui kaedah execute, menggunakan '?' pemegang tempat. Walau bagaimanapun, ingat untuk memproses input pengguna melalui htmlspecialchars() sebelum mengeluarkan untuk mempertahankan terhadap serangan suntikan HTML.
Dengan mematuhi penggunaan pernyataan yang disediakan dengan betul, anda menghapuskan keperluan untuk mysql_real_escape_string() dan meningkatkan keselamatan pertanyaan SQL anda .
Atas ialah kandungan terperinci Adakah mysql_real_escape_string() Masih Diperlukan dengan Penyata Disediakan?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Apakah alat pembangunan?
Apakah yang perlu saya lakukan jika gpedit.msc tidak boleh dibuka?
Apakah kemahiran yang diperlukan untuk bekerja dalam industri PHP?
apa maksud os
Apakah alat semakan kod statik?
Mana satu lebih mudah, thinkphp atau laravel?
Perbezaan antara wlan dan wifi
Bagaimana untuk menetapkan nombor halaman ppt
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
