>初始化时撤消所有输入.>转义每个值,最好在生成sql时.
第一个解决方案是次优的,因为如果你想在sql以外的任何东西中使用它,你就需要对每个值进行转换,比如在网页上输出它.
第二种解决方案更有意义,但手动转义每个值是一种痛苦.
我知道prepared statements,但是我发现MySQLi很麻烦.此外,将查询与输入分开关系到我,因为尽管使订单正确是至关重要的,但很容易出错,从而将错误的数据写入错误的字段.