我应该使用mysqli_real_escape_string
还是应该使用准备好的声明?
我已经看过一个教程,现在正在解释准备好的陈述,但我看到它们与mysqli_real_escape_string
做同样的事情,但它使用了更多行
准备好的陈述是否有任何好处? 你认为最好的方法是什么?
答案 0 :(得分:3)
使用prepared statements
因为使用此功能后您不必使用mysqli_real_escape_string
。 prepared statements
默认执行此操作。
答案 1 :(得分:2)
准备好的陈述。因为无处逃避是一回事。实际上,逃逸与任何注射完全无关,不应用于保护。
虽然准备好的陈述在适用时提供100%的安全性。
答案 2 :(得分:0)
很容易忘记(可能不适合你,但是你工作的其他开发人员)要逃避,而很难使用预先准备好的语句来导致漏洞。如此准备好的陈述。