Mysql
 sql >> база данни >  >> RDS >> Mysql

Необходим ли е mysql_real_escape_string() при използване на подготвени оператори?

Не, подготвените заявки (когато се използват правилно) ще гарантират, че данните са правилно екранирани за безопасно запитване. Използвате ги правилно, просто трябва да промените едно малко нещо. Тъй като използвате '?' заместител, по-добре е да прехвърлите параметрите през метода execute.

$sql->execute(array($consulta));

Само внимавайте, ако го извеждате на страницата си, санирането на базата данни не означава, че ще бъде безопасно за показване в HTML, така че стартирайте htmlspecialchars() и на нея.




  1. Database
  2.   
  3. Mysql
  4.   
  5. Oracle
  6.   
  7. Sqlserver
  8.   
  9. PostgreSQL
  10.   
  11. Access
  12.   
  13. SQLite
  14.   
  15. MariaDB
  1. Групиране на таблици в MySQL база данни

  2. Сумиране на колона, разделена със запетая в MySQL 4 (не 5)

  3. Писане в MySQL база данни с панди с помощта на SQLAlchemy, to_sql

  4. MySql заявка за избор на записи с определена дата

  5. Magento install се оплаква от липса на InnoDB, когато е наличен