我完成了我的研究并决定在我的查询中使用准备好的语句,我问我是否有任何我应该知道的,关于切换到正常的mysqli查询到准备好的语句的好坏.
另外我不明白逻辑如何不需要转义坏字符?
仍然需要转义坏字符,但库会自动为您绑定的所有参数执行此操作.它只是稍微方便一点,并防止程序员忘记清理值.
但请注意,这种自动机制仅限于参数!
以下查询是安全的,因为bind_param()负责转义:
$code = $_GET["code"];
$name= $_GET["name"];
$percentage= $_GET["percentage"];
$stmt = $mysqli->prepare("INSERT INTO items VALUES (?, ?, ?)");
$stmt->bind_param('iss', code, $name, $percentage);
$stmt->execute();
以下查询是不安全的,因为您直接放入查询的任何内容都不会自动转义:
$tablename = $_GET["prefix"]."_items";
$code = $_GET["code"];
$name= $_GET["name"];
$percentage= $_GET["percentage"];
---- UNSAFE! ----
$stmt = $mysqli->prepare("INSERT INTO `$tablename` VALUES (?, ?, ?)");
$stmt->bind_param('iss', $code, $name, $percentage);
$stmt->execute();
也就是说,不应该使用像这个例子中所示的动态表名.但重点是:即使使用参数化查询,也要小心!
我能想到的唯一缺点是你不能再看到最后的查询用于调试(因为它只在服务器端组装).
| 归档时间: |
|
| 查看次数: |
4076 次 |
| 最近记录: |