如果您选择的语言/数据库具有内置函数来转义用户输入,(例如,mysql_real_escape_string)SQL参数化的参数是什么? mysql_real_escape_string有可能在某种程度上使应用程序容易受到攻击吗?
我使用参数化因为我被告知/已经读过它是更好的方法,但我不想盲目跟随。任何见解?谢谢!
答案 0 :(得分:1)
参数化的参数是性能。
如果您要多次执行以下句子:
insert into table (col1, col2) values (?, ?);
最好使用参数,因为查询只会被评估(解析,计划分析和计算)一次,并且会被执行多次。