这个问题已经在这里有一个答案:
- 如何防止在PHP中SQL注入? 28个回答
我应该使用mysqli_real_escape_string或者我应该用准备好的发言?
我见过的教程现在解释预处理语句,但我看过他们做同样的事情mysqli_real_escape_string但它使用多行
是否有准备的语句什么好处? 你觉得是用最好的方法是什么?
Answer 1:
只准备语句 。 因为无处逃避的是同样的事情。 事实上,转义绝对没有做与任何打针,不应该用于保护。
虽然准备语句提供100%安全时适用。
Answer 2:
使用prepared statements ,因为使用此之后,你不必使用mysqli_real_escape_string 。 prepared statements做这个作为默认。
Answer 3:
这是很容易忘记(也许不适合你,但其他你一起工作的开发者)逃跑,而这是很难用准备好的发言不当引起的漏洞。 所以,准备语句。
文章来源: Should I use mysqli_real_escape_string or should I use prepared statements? [duplicate]
