我什么时候应该使用准备好的报表?最初,我使用MySQL_CONNECT和MySQL_Query来做一些事情。然后我学到了SQL注入,所以我试着学习如何使用准备好的语句。我理解PDO类的准备和执行函数对于防止SQL注入是如何有用的。但是,只有当用户输入被存储到数据库中时,才需要准备好语句。仍然使用mysql_num_row可以吗?因为我并不真的会因为使用这个函数而冒被黑客攻击的风险吗?还是用预先准备好的语句来做这件事更安全?对于涉及使用MySQL的任何事情,我应该使用准备好的语句吗?为什么?我真的很感激你的回答和反馈。谢谢。
3 回答
呼唤远方
TA贡献1856条经验 获得超11个赞
一直都是。100%的时间,使用它。而且即使你不需要使用它。还是用吧。
mysql_*
警告
这个扩展在PHP5.5.0中被废弃,在PHP7.0.0中被删除。相反, MySQLi 或 PDO_MySQL 应该使用扩展。另见 MySQL:选择API 指南和 相关常见问题 想了解更多信息。这一职能的替代办法包括:
PDOMySQLi2
Prepared StatementsQuery: SELECT foo FROM bar WHERE foo = ?Data: [? = 'a value here']
PHP PDO
$dbh = PDO(....); // dsn in there mmm yeahh$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name', $name);$stmt->bindParam(':value', $value);// insert one row$name = 'one';$value = 1;$stmt->execute();多读
炎炎设计
TA贡献1808条经验 获得超4个赞
如果应用程序接受任何用户输入,则100%使用预先准备的语句。
mysql_*mysql_*MySQLiPDOmysql_num_rows
用户名 密码 电子邮件地址 用户评论 电话号码 日期 搜索字符串 浏览器客户端字符串 信用卡号码 上传文件名 和 任何
由用户创建或用户可以操作的其他类型的输入。
不负相思意
TA贡献1777条经验 获得超10个赞
Mysql_*mysqli_*PDO
- 3 回答
- 0 关注
- 368 浏览
添加回答
举报
0/150
提交
取消