如果我绑定了参数，那么我是否需要使用mysql_real_escape_string函数？

20 浏览2023年1月29日

匿名的 2023年1月30日

0 Comments

我有以下代码：

function dbPublish($status)
{
 global $dbcon, $dbtable;
 if(isset($_GET['itemId']))
 {
  $sqlQuery = 'UPDATE ' . $dbtable . ' SET active = ? WHERE id = ?';
  $stmt = $dbcon->prepare($sqlQuery);
  $stmt->bind_param('ii', $status, $_GET['itemId']);
  $stmt->execute();
  $stmt->close();
 }
}

在这种情况下，我需要使用mysql_real_escape_string吗，还是可以的？

PDO准备语句有多安全？

"mysqli_real_escape_string"足以防止SQL注入或其他SQL攻击吗？

PDO准备语句是足以防止SQL注入的吗？

Mysqli_real_escape_string 函数中单引号是安全的吗？

如何在pdo中转义字符串？

Safe alternative to mysql_real_escape_string? (PHP) 安全的mysql_real_escape_string的替代方法？（PHP）

使用php mysqli->prepare更新和插入SQL表格。

在检索过程中使用mysql_real_escape_string函数

我何时应该使用预编译语句？

mysqli_real_escape_string()足以防止SQL注入吗？

PHP MySQLI 预防 SQL 注入攻击

转义pdo查询，这是必要的吗？

PDO准备语句，使用正确吗？

Multibyte SQL注入

如何在使用mysql_real_escape_string时进行SQL注入

绕过mysql_real_escape_string()的SQL注入攻击

"测试SQL注入漏洞有多深"

如何在PDO中使用/编写mysql_real_escape_string函数？

如果数据存在则更新，否则插入，MySQL使用子查询或其他方法。

如果我绑定了参数，那么我是否需要使用mysql_real_escape_string函数？

0 答案