这可能是一个愚蠢的问题,但即使SQL没有从字段,POST或GET中获取任何变量,您是否还应该使用准备好的SQL?
示例:
$sql = mysqli_query($con, "SELECT * FROM table WHERE foo = 'bar'");
在我的书中,这是安全的,因为没有输入,我错了吗?
答案 0 :(得分:0)
变量的来源无关紧要。这不是关于领域。它是关于变量的。只要您在查询中使用至少一个变量 - 就必须使用占位符
进行准备否则,您可以使用query()方法。准备完全静态查询是没有用的,如OP中所示。