我长期以来一直使用mysql_query()来做我的工作,但现在我转向准备好的语句,原因有两个:
性能和无sql注入可能性
这就是我使用它的方式:
function add_new_user($e_mail1,$username,$pass)
{
require_once "db.php";
$stmt = $mysqli->prepare("INSERT INTO un_users VALUES ('',?, ?,0,0,?,0)");
$stmt->bind_param('sss', $e_mail1, $username,$pass);
$stmt->execute();
$stmt->close();
}
当我将三个变量($e_mail1,$username,$pass)传递给函数或其他任何东西时,我并没有对它们进行清理。
我做这件事的方式是正确的,还是我在某个地方搞砸了,或者需要做其他事情?我是一个新手(仍在浏览文档),所以请随时向您展示知识:D
谢谢!
是的,你做得对。