另一个问题中有一条评论如下:
"When it comes to database queries, always try and use prepared parameterised queries. The mysqli and PDO libraries support this. This is infinitely safer than using escaping functions such as mysql_real_escape_string."
那么,我想问的是:为什么准备好的参数化查询更安全?
最佳答案
我认为这里的人们缺少的重要一点是,使用支持参数化查询的数据库,无需担心“转义”。数据库引擎不会将绑定(bind)的变量组合到 SQL 语句中,然后解析整个事情;绑定(bind)的变量是独立的,永远不会被解析为通用 SQL 语句。
这就是安全性和速度的来源。数据库引擎知道占位符仅包含数据,因此它永远不会被解析为完整的 SQL 语句。当您准备一条语句然后多次执行它时,速度就会提高;将多条记录插入同一个表的规范示例。这种情况下,数据库引擎只需要解析、优化等一次。
现在,一个问题是数据库抽象库。他们有时会通过将绑定(bind)变量插入到带有适当转义的 SQL 语句中来伪造它。不过,这比自己做要好。
关于php - 为什么使用 mysql 准备好的语句比使用常见的转义函数更安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/732561/