我是否需要mysqli_escape_string来避免sql注入,如果我使用mysqli准备语句
不,你不需要,准备好的语句将确保你的查询是正确的。
事实上,预处理语句是最安全的防止注入的方法,转义从来都不是100%安全的。
这解释了为什么:为什么使用mysql prepared语句比使用常见的转义函数更安全?
- 关于预处理语句或PDO与预处理语句,请参考以下链接。
我是否需要mysqli_escape_string来避免sql注入,如果我使用mysqli准备语句
不,你不需要,准备好的语句将确保你的查询是正确的。
事实上,预处理语句是最安全的防止注入的方法,转义从来都不是100%安全的。
这解释了为什么:为什么使用mysql prepared语句比使用常见的转义函数更安全?