Tôi có nên sử dụng chức năng mysql_real_escape_string()
trong các truy vấn MySQL của mình cho các biến số $_SESSION
không? Về mặt lý thuyết, không thể sửa đổi các biến số $_SESSION
bởi người dùng cuối không giống như các biến số $_GET
hoặc $_POST
phải không?
Cảm ơn :)
Cảm ơn Andrew. Tôi có thể hỏi "Thông số ràng buộc" là gì không? – Lyon
Đây là phương tiện khai báo trình giữ chỗ trong SQL của bạn và sau đó gửi các giá trị dữ liệu đến máy chủ "ngoài băng" sao cho chúng không thể được hiểu là SQL, loại bỏ khả năng chèn SQL. Xem, ví dụ: http://usphp.com/manual/en/function.mysqli-stmt-bind-param.php –
Hmm..Tôi thấy. Sau khi bạn đứng đầu, tôi bắt đầu đọc về params ràng buộc và hỗ trợ của nó trong mysqli. Tôi hiện đang sử dụng ext/mysql và tôi tin rằng không hỗ trợ các tham số ràng buộc. Cảm ơn bạn rất nhiều. Tôi sẽ phải lấy các truy vấn của tôi về việc di chuyển từ mysql sang mysqli trên một luồng khác (chẳng hạn như sử dụng mysqli mà không có các câu lệnh chuẩn bị sẵn sàng). – Lyon