为什么使用mysql预处理语句比使用普通转义功能更安全?
在另一个问题中有一条评论说:
“涉及数据库查询时,请始终尝试使用预先准备好的参数化查询。mysqli和PDO库支持此操作。这比使用转义函数(例如mysql_real_escape_string)绝对安全。”
资源
因此,我想问的是:为什么准备好的参数化查询更安全?
桃花长相依浏览 638回答 3
3回答
-
慕桂英3389331
首先,您将危险字符的转义留给了数据库,这比人类安全得多。...它不会忘记转义,或者会错过任何可能用于注入恶意SQL的特殊字符。更不用说,您可能会提高性能来启动!
随时随地看视频慕课网APP
MySQL
PHP
安全