标签: php prepared-statement sql-injection
我有一个表格并通过AJAX发布到file.php,如下所示:
file.php
<?php $sql = $db->prepare("INSERT INTO warna SET id_warna='', nm_warna=? "); $sql->bind_param("s", $nm_warna); $sql->execute(); ?>
安全吗?或者我该怎样做才能确保安全?
答案 0 :(得分:1)
是的,这是安全的。
预备语句和参数化查询用于防止SQL注入。
你使用了相同的东西,这应该避免任何用户使用你的SQL查询。
PDO是一个更好的选择,它也可以加速您的SQL查询。