我们都读到了有关防止SQL注入攻击的所有内容:How Can I Prevent SQL Injection in PHP,SQL Injection Attacks,PHP: mysqli_real_escape_string,How to prevent code injection attacks in PHP以及与#34相关的许多其他内容;辩论" php - mysql_real_escape_string vs addslashes。
但是,我很好奇在将数据传递给数据库之前使用数据函数时保护我的SQL语句的正确方法。在将值传递给addslashes()之类的函数之前,我必须mysqli_real_escape_string()和crypt()这些函数然后将在准备好的语句中使用bind_param() }?我可以放弃addslashes()和mysqli_real_escape_string(),因为该值最终会进入准备好的语句吗?
答案 0 :(得分:0)
哪种特定类型的数据进入数据库或对其进行处理没有区别。对于SQL查询,该过程应该完全相同