将bind_param与mysqli预处理语句一起使用时,我不确定是使用$_POST还是变量。如果bind_param值来自通过网站提交的表单,将$_POST值直接放入bind_param是否不安全?
$newBlog->bind_param('ss',$_POST['newBlogTitle'],$_POST['newBlogContent']);
或
$newBlogTitle = $_POST['newBlogTitle'];
$newBlogTitle = $_POST['newBlogContent'];
$newBlog->bind_param('ss',$newBlogTitle,$newBlogContent);
或者没关系?
答案 0 :(得分:1)
将$ _POST值直接放入bind_param是不安全的吗?
字符串连接是SQL注入的关键。但是,由于您使用的是参数化查询,因此数据将自动转义并消除注入风险。是否将$ _POST变量分配给另一个变量无关紧要。
答案 1 :(得分:0)
没关系。变量的值是相同的,因为你只是将一个赋值给另一个。