问题描述
正如@Rob
Walker所说,参数化查询是您最好的选择。如果您使用的是最新最好的PHP,我强烈建议您看一下PDO(PHP数据对象)。这是一个本地数据库抽象库,它支持广泛的数据库(当然包括MysqL)以及带有命名参数的预备语句。
解决方法
以下是开始对话的几种可能性:
- 初始化后转义所有输入。
- 转义每个值,最好在生成SQL时转义。
第一种解决方案是次优的,因为如果要在除SQL之外的其他任何方式中使用每个值,则需要取消转义每个值,例如在网页上输出它。
第二种解决方案更有意义,但是手动转义每个值是一件痛苦的事情。
我知道已准备好的语句,但是我发现MySQLi麻烦。另外,将查询与输入分离也使我感到担忧,因为尽管正确执行订单至关重要,但很容易出错,从而将错误的数据写入错误的字段。
