我想知道哪种方法在性能和安全性方面更好。我正在使用 MySql DB 并且值是 varchar 类型。
我应该直接连接这些值以形成查询字符串并执行查询吗? (或者) 我应该使用参数化查询吗?
提前致谢
最佳答案
你应该关心数据安全然后是性能,如果你连接查询参数你的安全是有风险的,而且这可能会破坏你的查询语句;这不是更好的方法。
因此,为了安全起见,您应该将查询参数化而不是串联,这样处理查询字符串只需要很少的时间。
关于mysql - 数据库查询 : parameterised values or appended values?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51606740/