当将bind_param与mysqli准备好的语句一起使用时,我不确定是使用$_POST
还是使用变量。如果这些bind_param
值来自通过网站提交的表单,将这些$_POST
值直接输入到中是否不安全bind_param
?
$newBlog->bind_param('ss',$_POST['newBlogTitle'],$_POST['newBlogContent']);
或者
$newBlogTitle = $_POST['newBlogTitle'];
$newBlogTitle = $_POST['newBlogContent'];
$newBlog->bind_param('ss',$newBlogTitle,$newBlogContent);
还是没关系?
将$ _POST值直接放入bind_param是不安全的吗?
字符串连接是SQL注入的关键。但是,由于使用的是参数化查询,因此数据将自动转义,并且消除了注入风险。是否将$ _POST变量分配给其他变量无关紧要。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句