[英]PHP bind_param using variables or POST?
当将bind_param与mysqli准备的语句一起使用时,我不确定是使用$_POST
还是使用变量。 如果bind_param
值来自通过网站提交的表单,将$_POST
值直接放入bind_param
是不安全的吗?
$newBlog->bind_param('ss',$_POST['newBlogTitle'],$_POST['newBlogContent']);
要么
$newBlogTitle = $_POST['newBlogTitle'];
$newBlogTitle = $_POST['newBlogContent'];
$newBlog->bind_param('ss',$newBlogTitle,$newBlogContent);
还是没关系?
将$ _POST值直接放入bind_param是不安全的吗?
字符串连接是SQL注入的关键。 但是,由于使用的是参数化查询,数据将自动转义,并且消除了注入风险。 是否将$ _POST变量分配给其他变量无关紧要。
没关系 变量的值相同,因为您只是将一个分配给另一个。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.