如何可以mysqli
这个问题在这里已经有了答案:
只要您使用mysqli_set_charset()
设置客户端编码,并且mysqli_real_escape_string()
使用mysqli_real_escape_string()
来格式化字符串 ,则它是完全安全的。
但是,如果您的问题隐含在应用程序代码中使用此函数,而不是基于占位符的查询的幕后处理,或者至少以PDO的quote()
函数的形式(它一次转义和引用)它是直接注射的方式。
功能本身不是一个问题,而是它被使用的方式:
这就是为什么您必须始终使用占位符来表示查询中的数据(而mysqli_real_escape_string可以用来处理此占位符)
链接地址: http://www.djcxy.com/p/93443.html上一篇: How can mysqli