我正在使用 mysqli 预处理语句
$email=$_POST['email'];
$password=$_POST['password'];
$sql="SELECT * from users where email=? and password=?";
$result=$db->prepare($sql);
$result->bind_param('ss',$email,$password);
$result->execute();
由于帖子值来自用户,我遵循此方法但是例如..我想像所有用户一样从数据库中获取一些东西
SELECT * from users where active=1
- 我应该在这里也使用准备好的语句还是简单的 $db->query(//code);会好吗?
- 我不应该在同一个页面中混合使用简单的 mysqli 查询和准备好的语句吗?
最佳答案
最好尽可能使用准备好的语句。如果您的应用程序会增长,您将不得不用用户输入替换硬编码变量怎么办?
实际上为此使用 ORM 更好,因为它让您可以在需要时重复使用准备好的查询。即使您不准备它们,ORM 也会鼓励您编写这样的方法:
getActiveUsers()
而不是每次都写查询。
关于php - 同一页面上的准备语句和 mysqli_query,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19844112/