使用准备好的语句时,是否有理由在$ _GET或$ _POST变量上使用(mysqli_real_escape_string)进行清理?
[英]Is there a reason to sanitize using (mysqli_real_escape_string) on my $_GET or $_POST variables when using prepared statements?
问题描述
$name = mysqli_real_escape_string($connection, $name);
还是可以吗?
$name = $_GET["name"];
$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name);
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// do something with $row
}
2 个解决方案
解决方案1
2 已采纳 2014-01-09 21:45:30
不。您最终将两次转义。 绑定参数是手动转义的替代。
解决方案2
2 2014-01-09 21:46:28
不,您不必。 准备工作已经为您做好了一切。
清理:trim()+ mysqli_real_escape_string()或filter_input()吗?
[英]Sanitize: trim() + mysqli_real_escape_string() OR filter_input()?
在不使用mysqli_real_escape_string()的情况下输入sanitizaton
[英]Input sanitizaton without using mysqli_real_escape_string()
mysqli_real_escape_string使用post工作,但如果通过将值分配给另一个变量来插入值则无法工作
[英]mysqli_real_escape_string working using post but not working on if inserting value by assigning value to another variable
PHPMyAdmin中的Unicode使用mysqli_real_escape_string
[英]Unicode in PHPMyAdmin using mysqli_real_escape_string
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
mysqli_real_escape_string AND准备好的语句?
mysqli预处理语句和mysqli_real_escape_string
mysqli_real_escape_string使用环境
使用mysqli_real_escape_string时查询不运行
清理:trim()+ mysqli_real_escape_string()或filter_input()吗?
使用mysqli_real_escape_string后的未定义索引
在不使用mysqli_real_escape_string()的情况下输入sanitizaton
我是否正确使用了 mysqli_real_escape_string?
mysqli_real_escape_string使用post工作,但如果通过将值分配给另一个变量来插入值则无法工作
PHPMyAdmin中的Unicode使用mysqli_real_escape_string
相关标签