0
做mysqli_stmt :: bind_param使用從mysqli :: real_escape_string隱含?或者我們必須手動進行?「mysqli_stmt :: bind_param」是否隱式使用「mysqli :: real_escape_string」?
做mysqli_stmt :: bind_param使用從mysqli :: real_escape_string隱含?或者我們必須手動進行?「mysqli_stmt :: bind_param」是否隱式使用「mysqli :: real_escape_string」?
mysqli_stmt::bind_param
既不隱含地也不mysqli::real_escape_string
,也不需要手動完成。
首先,轉義不是安全的同義詞。綁定是。
所以,這是無與倫比的事情。 請參考我前面答案的解釋:Properly Escaping with MySQLI | query over prepared statements
接下來,bind_param不使用無論如何逃避 - 這是不同的機制
請參考我的另一個答案全解釋:How prepared statements can protect from SQL injection attacks?