はをmysqliのが、私は、コードPHPプリペアドステートメントで "mysqli_real_escape_string"を使用するには?私はPHPプリペアドステートメントを使用しています
mysqli_real_escape_string
どのように私はPHPプリペアドステートメントのmysqliの中で上記のコードを使用することができます下に見つけることができません。* が、それはこのようなものです?
$stmt->escape_string
準備クエリ(適切に使用されている場合)は、安全なクエリのためにデータが適切にエスケープされるため、mysqli_real_escape_stringをまったく使用する必要はありません。あなたはそれらを適切に使用しているのですが、ちょっとした変更が必要です。あなたは '?'プレースホルダを使用する場合は、executeメソッドを使用してparamsを渡す方が適切です。
$ sql-> execute(array($ test));
これをページに出力する場合は注意してください。データベースのサニタイズは、HTML内での表示が安全であるとは限りません。そのため、htmlspecialchars()も実行してください。 ここにこの質問へのリンクがありますprepared statements and real_escape_string
コミュニティウィキとしての投稿。私はこれを担当したくない。
mysqli_real_escape_string()との両方を使用することには意味がありません。
どちらか一方です。
MySQLi_の使用に関するマニュアルを読むには、ステートメントを準備:
しかし...あなたが同じインスタンスのためだけではない、両方一緒に、両方を使用することができます。
.Thanksは、私はまだあなたに感謝するために、あなたは近い将来に言ったの世話をしますあなたが完全な知識を持つ人々を助ける理由から、小さな答えは質問の考えられるすべての側面をカバーしています。 –
@Anantを拭き取ることができません –
十分な真down-vote.lol –
あなたはおっしゃっていません。それはどちらか一方です。 –
^私は答えとしてそれを入れておくべきです。* lol * –
貧しい姉妹が来て、笑って驚くことはありません。 *下のコード/ –