-
08-10-2019 - |
题
如果您选择的语言/数据库具有内置功能来逃避用户输入(例如MySQL_REAL_ESCAPE_STRING)SQL参数化的参数是什么? MySQL_REAL_ESCAPE_STRING是否有可能在某个时候使应用程序易受伤害?
我之所以使用参数化,是因为我被告知 /读过这是更好的选择,但我不仅想盲目关注。有洞察力吗?谢谢!
解决方案
参数化的论点是 表现.
如果您要多次执行以下句子:
insert into table (col1, col2) values (?, ?);
最好使用参数,因为仅评估查询一次(分析,计划分析和计算),并且将执行多次。
不隶属于 StackOverflow