标签: php mysql mysqli
我正在创建回复票系统,并遇到了这个问题。由于我正在使用mysqli_real_escape_string,因此它会在回复文本中添加反斜杠。由于我使用预处理语句和bind_param,删除mysqli转义字符串是否安全?或者是否会为SQL注入打开它?谢谢!
mysqli_real_escape_string
bind_param
答案 0 :(得分:0)
简单回答,没有。 SQL注入涉及输入用作SQL控件本身一部分的字符串,而不是输入部分查询的值。通过参数化查询,您基本上可以封锁变量,该变量涵盖受* _escape_string调用保护的案例,并且更安全。