在使用预准备语句时,mysql_real_escape_string()是必要的吗?
在使用预准备语句时,mysql_real_escape_string()是必要的吗?
提问于 2011-06-04 04:06:06
对于此查询,是否需要使用mysql_real_escape_string?
是否有任何改进,或者查询是否正常?
$consulta = $_REQUEST["term"]."%";
($sql = $db->prepare('select location from location_job where location like ?'));
$sql->bind_param('s', $consulta);
$sql->execute();
$sql->bind_result($location);
$data = array();
while ($sql->fetch()) {
$data[] = array('label' => $location);
}在这种情况下,查询速度很重要。
回答 1
Stack Overflow用户
回答已采纳
发布于 2011-06-04 04:09:43
不会,准备好的查询(如果使用得当)将确保数据被正确转义以进行安全查询。你正在正确地使用它们,只需要改变一件小事。因为您使用的是“?”占位符,最好通过execute方法传递params。
$sql->execute(array($consulta));
如果您将其输出到您的页面,请小心,数据库清理并不意味着在HTML中显示它将是安全的,所以也要对它运行htmlspecialchars()。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/6232084
复制相关文章
相似问题