SQLパラメーター化と逃亡
-
08-10-2019 - |
質問
選択した言語/データベースにユーザー入力をエスケープする機能が組み込まれている場合(たとえば、mysql_real_escape_string)、SQLパラメーター化の引数は何ですか? MySQL_REAL_ESCAPE_STRINGは、ある時点でアプリケーションを脆弱にする可能性がありますか?
パラメーター化を使用しています。なぜなら、それはより良い方法だと言われているからです。洞察はありますか?ありがとう!
解決
パラメーター化の引数はです パフォーマンス.
次の文を何度か実行する場合は:
insert into table (col1, col2) values (?, ?);
クエリは1回のみ評価される(解析、計画分析と計算)が何度も実行されるため、パラメーターを使用することをお勧めします。
所属していません StackOverflow