我必须根据数组内部的数据运行查询。在当地,我测试了名字。
progress bar这将根据我的$ names数组中的名称返回正确的行,但有些人说在查询中使用implode函数是危险的。我不知道怎么回事。
答案 0 :(得分:3)
是的,它很脆弱,因为报价不会被转义。考虑一下这个输入:
$names = ['my name', 'another name', '\') or true;--'];
不是内爆是一个问题 - 与此无关。问题是您使用字符串连接而不是prepared statements和bound parameters构建查询