我知道你们中的一些人可能会关闭这个问题,但我的问题来自你和你的答案.我正在阅读sql注入的过去两小时的问题和答案以及如何保护您的数据库.我看到的大量网页和教程也是如此.
原文链接:https://www.f2er.com/php/139070.html我发现有一半人声称准备语句可以保护你的数据库,另外50人声称它不是.
另一方面,我读到mysql_real_escape_string完成这项工作,而其他人则说它不是.
我的问题是谁相信?
另外,这是一个适当的准备声明吗?
$stmt = $dbh->prepare("SELECT PHPro_user_id,PHPro_username,PHPro_password FROM PHPro_users
WHERE PHPro_username = :PHPro_username AND PHPro_password = :PHPro_password");
/*** bind the parameters ***/
$stmt->bindParam(':PHPro_username',$PHPro_username,PDO::PARAM_STR);
$stmt->bindParam(':PHPro_password',$PHPro_password,PDO::PARAM_STR,40);
/*** execute the prepared statement ***/
$stmt->execute();
