在另一个问题中有一条评论说:“涉及数据库查询时,请始终尝试使用预先准备好的参数化查询。mysqli和PDO库支持此操作。这比使用转义函数(例如mysql_real_escape_string)绝对安全。”资源因此,我想问的是:为什么准备好的参数化查询更安全?
3 回答
Qyouu
TA贡献1786条经验 获得超11个赞
首先,您将危险字符的转义留给了数据库,这比人类安全得多。
...它不会忘记转义,或者会错过任何可能用于注入恶意SQL的特殊字符。更不用说,您可能会提高性能来启动!
添加回答
举报
0/150
提交
取消