我在代码中的所有地方都使用了mysql_real_eescape_string()函数,但现在它已经贬值了。我想知道这个函数保护sql注入的最佳选择是什么,我使用面向对象的数据库连接,但不想要需要用数据库连接对象调用的函数。
mysqli_real_escape_string()(如果您正在使用mysqli
API)。
或者向前迈出一大步,使用事先准备好的语句:)@DevDonkey评论的URL是一个很好的介绍。
我在代码中的所有地方都使用了mysql_real_eescape_string()函数,但现在它已经贬值了。我想知道这个函数保护sql注入的最佳选择是什么,我使用面向对象的数据库连接,但不想要需要用数据库连接对象调用的函数。
mysqli_real_escape_string()(如果您正在使用mysqli
API)。
或者向前迈出一大步,使用事先准备好的语句:)@DevDonkey评论的URL是一个很好的介绍。