$name = mysqli_real_escape_string($connection, $name);
或者这样就可以了吗?
$name = $_GET["name"];
$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name);
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// do something with $row
}
最佳答案
没有。你最终会双重逃避事情。绑定(bind)参数替代了手动转义。
关于php - 使用准备好的语句时,是否有理由在 $_GET 或 $_POST 变量上使用 (mysqli_real_escape_string) 进行清理?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21031697/