Adakah Saya Perlu `mysql_real_escape_string()` dengan Penyata Disediakan?

Adakah Fungsi mysql_real_escape_string() Diperlukan dengan Penyata Disediakan?

Apabila menggunakan pernyataan yang disediakan seperti dalam pertanyaan yang diberikan:

<code class="php">$sql = $db->prepare('select location from location_job where location like ?');

$sql->bind_param('s', $consulta);
$sql->execute();
$sql->bind_result($location);</code>

fungsi mysql_real_escape_string() tidak diperlukan kerana pernyataan yang disediakan menyediakan cara yang selamat untuk menghalang serangan suntikan SQL dengan melarikan diri daripada sebarang aksara khas dalam input.

Satu cadangan untuk menambah baik pertanyaan adalah menggunakan ' ?' pemegang tempat, membolehkan anda menghantar parameter dengan lebih mudah melalui kaedah pelaksanaan:

<code class="php">$sql->execute([$consulta]);</code>

Walau bagaimanapun, pastikan untuk membersihkan input pengguna menggunakan htmlspecialchars() sebelum memaparkannya untuk mengelakkan kelemahan skrip merentas tapak.

Atas ialah kandungan terperinci Adakah Saya Perlu `mysql_real_escape_string()` dengan Penyata Disediakan?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!