我很惊讶地发现这个问题还没有被问过
也足以防止 SQL 注入(inject)吗?
谢谢
最佳答案
我猜您正在使用 mysql 或 mysqli,您应该切换到 PDO 并使用准备语句而不是转义它。
按照要求。你应该看看this site .
<?php
$username = $_POST['username'];
$password = $_POST['password'];
$STH = $DBH->prepare("INSERT INTO users (username, password) values (:username, :password)");
$STH->bindParam(':username', $username);
$STH->bindParam(':password', $password);
$STH->execute();
?>
关于php - real_escape_string() 和 mysql_real_escape_string() 有什么区别?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16184587/