PHP MySQLi為SELECT准備了語句（避免SQL注入）

Question

這是避免在此SELECT中進行SQL注入的正確方法嗎？

// --[  Method  ]---------------------------------------------------------------
//
//  - Purpose   : Check if provided $email (taken from user input) exists in the DB
//
// -----------------------------------------------------------------------------
function DB_EmailExists($email)
{
    //
    if(DB_Connect() == false)
    {
        echo mysqli_error();
        return false;
    }

    //
    $stmt = $GLOBALS['global_db_link']->prepare("SELECT * FROM ".$GLOBALS['global_db_table_users']." WHERE Email=?");
    $stmt->bind_param('s', $email);
    $stmt->execute();
    $stmt->store_result();
    $numrows = $stmt->num_rows;
    $stmt->close();

    //
    if ($numrows==0)
    {
        DB_Disconnect();
        return false;
    }

    //
    DB_Disconnect();

    return true;
}

Answer 1

是的，那行得通。 但無需SELECT * ，只需使用SELECT email

PHP MySQLi為SELECT准備了語句（避免SQL注入）

問題描述

1 個解決方案

解決方案1
1 已采納 2015-11-28 21:41:10

PHP MySQLi為SELECT准備了語句（避免SQL注入）

問題描述

1 個解決方案

解決方案1 1 已采納 2015-11-28 21:41:10

解決方案1
1 已采納 2015-11-28 21:41:10