Do I need to escape data to protect against SQL injection when using bind_param() on MySQLi?(在 MySQLi 上使用 bind_param() 時是否需要轉義數據以防止 SQL 注入?)
<![CDATA[<i id='4UQlW'><tr id='4UQlW'><dt id='4UQlW'><q id='4UQlW'><span id='4UQlW'><b id='4UQlW'><form id='4UQlW'><ins id='4UQlW'></ins><ul id='4UQlW'></ul><sub id='4UQlW'></sub></form><legend id='4UQlW'></legend><bdo id='4UQlW'><pre id='4UQlW'><center id='4UQlW'></center></pre></bdo></b><th id='4UQlW'></th></span></q></dt></tr></i>]]> <![CDATA[<div class="qwawimqqmiuu" id='4UQlW'><tfoot id='4UQlW'></tfoot><dl id='4UQlW'><fieldset id='4UQlW'></fieldset></dl></div>]]>
<![CDATA[<small id='4UQlW'></small><noframes id='4UQlW'>]]>
<![CDATA[<tbody id='4UQlW'></tbody>]]> <![CDATA[<bdo id='4UQlW'></bdo><ul id='4UQlW'></ul>]]>
<![CDATA[<legend id='4UQlW'><style id='4UQlW'><dir id='4UQlW'><q id='4UQlW'></q></dir></style></legend>]]> <![CDATA[<tfoot id='4UQlW'></tfoot>]]>
本文介紹了在 MySQLi 上使用 bind_param() 時是否需要轉義數據以防止 SQL 注入?的處理方法,對大家解決問題具有一定的參考價值,需要的朋友們下面隨著小編來一起學習吧!
問題描述
正如標題所說,我在使用 bind_param() 時是否必須轉義用戶輸入,還是在內部完成?
As the title says, do I have to escape user input when using bind_param() or is that done internally?
謝謝.
推薦答案
不需要,綁定參數時不需要轉義數據以防止 SQL 注入.
No, you do not need to escape data to protect against SQL injection when binding parameters.
但這并不能免除您驗證所述數據的責任.
This does not absolve you from validating said data though.
綁定參數時,不執行轉義(內部或其他方式).使用參數占位符準備 SQL 語句,并在執行時傳遞這些參數的值.
When binding parameters, there is no escaping performed (internally or otherwise). An SQL statement is prepared with parameter placeholders and values for these are passed at execution time.
數據庫知道什么是參數并相應地處理它們,而不是 SQL 值插值.
The database knows what parameters are and treats them accordingly as opposed to SQL value interpolation.
這篇關于在 MySQLi 上使用 bind_param() 時是否需要轉義數據以防止 SQL 注入?的文章就介紹到這了,希望我們推薦的答案對大家有所幫助,也希望大家多多支持html5模板網!
【網站聲明】本站部分內容來源于互聯網,旨在幫助大家更快的解決問題,如果有圖片或者內容侵犯了您的權益,請聯系我們刪除處理,感謝您的支持!
