anv*_*nvd 20 php mysql mysqli prepared-statement sanitize
对于这个查询,有必要使用mysql_real_escape_string吗?
任何改进或查询都没问题?
$consulta = $_REQUEST["term"]."%";
($sql = $db->prepare('select location from location_job where location like ?'));
$sql->bind_param('s', $consulta);
$sql->execute();
$sql->bind_result($location);
$data = array();
while ($sql->fetch()) {
$data[] = array('label' => $location);
}
在这种情况下,查询速度很重要.
Sam*_*amT 23
不,准备好的查询(如果使用得当)将确保数据被正确转义以进行安全查询.你正确地使用它们,只需要改变一件小事.因为你正在使用'?' 占位符,最好通过execute方法传递params.
$sql->execute(array($consulta));
如果您将其输出到页面,请小心,数据库清理并不意味着在HTML中显示它是安全的,因此也可以在其上运行htmlspecialchars().