[英]Is there a reason to sanitize using (mysqli_real_escape_string) on my $_GET or $_POST variables when using prepared statements?
$name = mysqli_real_escape_string($connection, $name);
还是可以吗?
$name = $_GET["name"];
$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name);
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// do something with $row
}
不。您最终将两次转义。 绑定参数是手动转义的替代。
不,您不必。 准备工作已经为您做好了一切。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.