使用准备好的语句比普通的mysqli语句的优势?
|
我已经进行了研究,并决定在查询中使用准备好的语句,我只想问我是否应该知道有关将普通mysqli查询切换到准备好的语句的好坏。
而且我不理解逻辑,为什么不需要转义坏字符?
没有找到相关结果
已邀请:
4 个回复
诫商
负责转义:
以下查询是不安全的,因为您直接放入查询中的任何内容都不会自动转义:
也就是说,无论如何都不应使用本示例中所示的动态表名称。但是重点是:即使有参数化查询,也要小心! 我能想到的唯一缺点是,您再也看不到最终查询用于调试(因为它仅在服务器端组装)。
诉嘎归亮
吞睫素
糖固傻染