mysqli_stmt :: bind_param 隐式使用 mysqli :: real_escape_string 吗?或者我们必须手动完成?
答案 0 :(得分:1)
mysqli_stmt::bind_param不会隐式执行mysqli::real_escape_string,也不必手动执行。
首先,转义不是安全的同义词。虽然绑定是。
所以,这是无与伦比的事情。
请参阅我之前的答案以获得解释:Properly Escaping with MySQLI | query over prepared statements
接下来,bind_param无论如何都不使用转义 - 它是不同的机制
请参考我的另一个答案,并附上完整的解释:How prepared statements can protect from SQL injection attacks?