我的情况是我无法在PDO准备语句中混合命名和位置参数。这是一个很长的故事,但为了简化,我决定在使用IN运算符时抛弃准备好的语句。
例如,使用普通WHERE column IN (1, 2, 3)代替WHERE column IN (?, ?, ?)。
为确保数据仍然安全,我可以使用mysqli_escape_string()吗?
例如,WHERE column IN ('.mysqli_escape_string($a).', '.mysqli_escape_string($b).', '.mysqli_escape_string($c).')?
简而言之,我想知道mysqli_escape_string()是否是我用例中预备语句的良好替代品?
编辑:用mysqli _ *
替换mysql_ *