我长期以来一直使用mysql_query()来完成我的工作,但现在我转向准备好的语句有两个原因:
性能和没有SQL注入的可能性
这就是我使用它的方式:
function add_new_user($e_mail1,$username,$pass)
{
require_once "db.php";
$stmt = $mysqli->prepare("INSERT INTO un_users VALUES ('',?, ?,0,0,?,0)");
$stmt->bind_param('sss', $e_mail1, $username,$pass);
$stmt->execute();
$stmt->close();
}
当我将它们传递给函数或其他任何东西时,我没有清理这三个变量($e_mail1,$username,$pass)
。
我是以正确的方式做事还是我搞砸了某个地方或需要做别的事情? 我是这个的新手(仍然通过文档)所以随意淋浴你的知识:D
谢谢!
答案 0 :(得分:3)
是的,你正确地做到了。