sql >> Database teknologi >  >> RDS >> Mysql

mysql(i)_real_escape_string, sikker at stole på?

Brug af bundede parametre er ikke overkill og burde være påkrævet. Det vil mere effektivt undslippe og forberede dine parametre.

$stmt = mysqli_prepare($link, "INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)");
mysqli_stmt_bind_param($stmt, 'sssd', $code, $language, $official, $percent);

$code = 'DEU';
$language = 'Bavarian';
$official = "F";
$percent = 11.2;

/* execute prepared statement */
mysqli_stmt_execute($stmt);

Er det virkelig virker som overkill?

Dokumentation



  1. Grundlæggende administration Sammenligning mellem Oracle, MSSQL, MySQL, PostgreSQL

  2. Hvilken mysql-driver bruger jeg med spring/hibernate?

  3. Fremmednøgler i MySQL?

  4. MySQL 5.6 Full Text Search Problem ved søgning efter ordet i PHP