我很惊讶地发现这没有被问到
还足以防止SQL注入吗?
谢谢
答案 0 :(得分:1)
我猜你正在使用mysql或mysqli,你应该切换到PDO并使用prepare语句而不是转义它。
根据要求。你应该看一下this site。
<?php
$username = $_POST['username'];
$password = $_POST['password'];
$STH = $DBH->prepare("INSERT INTO users (username, password) values (:username, :password)");
$STH->bindParam(':username', $username);
$STH->bindParam(':password', $password);
$STH->execute();
?>