那些遇到过的问题

PHP和mySQLi:使用prepare语句时是否还需要检查用户输入?

Joh*_*ith 3 php database mysqli sql-injection prepared-statement

如果我在mySQLi中使用prepare语句,我是否仍然需要以任何方式转义或检查用户输入.例如,如果我有代码:

$members = new mysqli("localhost", "user", "pass", "members");
$r_email = $_POST['r_email'];
$check = $members->prepare("select user_id from users where email = ?");
$check->bind_param('s', $r_email);
$check->execute();
$check->store_result();
if ($check->num_rows > 0) {
    echo "user already registered";
    $check->close();
}
$members->close();
Run Code Online (Sandbox Code Playgroud)

我需要改变$r_email = $_POST['r_email'],以$r_email = mysql_real_escape_string($_POST['r_email']);

谢谢.

Mar*_*ker 6

您不需要使用预准备语句进行转义,但验证用户输入仍然是一个好主意(例如,已填充必填字段,数字字段包含数值等)

归档时间:

查看次数:

740 次

最近记录:

13 年,11 月 前
相关归档
如何使用具有比较标准的findBy方法 72
如何在PHP中正确转义html表单输入默认值? 62
MySQL GROUP BY两列 58
php:循环遍历json数组 49
创建一个"拼写检查",用合理的运行时检查数据库 20
什么是MySQL(InnoDB)最好的Linux文件系统? 9
Postgres 9.1复制与MySQL复制 7
一对一的数据库关系? 5
我应该如何为我的python应用程序构建一个简单的数据库包? 5
将$ item = mysql_fetch_assoc($ stmt)更改为预准备语句样式 3
难疑归档
"git add -A"和"git add"之间的区别. 2788
为什么打印"B"比打印"#"要慢得多? 2662
#include <filename>和#include"filename"有什么区别? 2204
如何使div不大于其内容? 1960
禁用Chrome缓存以进行网站开发 1563
静态只读与const 1349
Apache Camel究竟是什么? 1310
如何在悬停而不是单击时使Twitter Bootstrap菜单下拉列表 1146
什么是"Linting"? 1044
在Python中查找扩展名为.txt的目录中的所有文件 1043