PHP:准备好的语句(新手),只需要确认一下有关SQL注入的内容

时间:2011-06-16 14:52:40

标签: php prepared-statement

我长期以来一直使用mysql_query()来完成我的工作,但现在我转向准备好的语句有两个原因:
性能和没有SQL注入的可能性

这就是我使用它的方式:

function add_new_user($e_mail1,$username,$pass)
    {
    require_once "db.php";

$stmt = $mysqli->prepare("INSERT INTO un_users VALUES ('',?, ?,0,0,?,0)");
$stmt->bind_param('sss', $e_mail1, $username,$pass); 

$stmt->execute();    
$stmt->close();
    }

当我将它们传递给函数或其他任何东西时,我没有清理这三个变量($e_mail1,$username,$pass)

我是以正确的方式做事还是我搞砸了某个地方或需要做别的事情? 我是这个的新手(仍然通过文档)所以随意淋浴你的知识:D

谢谢!

1 个答案:

答案 0 :(得分:3)

是的,你正确地做到了。