如果绑定参数，是否必须使用 mysql_real_escape_string？

Question

我有以下代码：

function dbPublish($status)
{
 global $dbcon, $dbtable;

 if(isset($_GET['itemId']))
 {
  $sqlQuery = 'UPDATE ' . $dbtable . ' SET active = ? WHERE id = ?';
  $stmt = $dbcon->prepare($sqlQuery);
  $stmt->bind_param('ii', $status, $_GET['itemId']);
  $stmt->execute();
  $stmt->close();
 }
}

在这种情况下我需要 mysql_real_escape_string 还是我可以？

Answer 1

不，当您使用准备好的语句时，您不必自己转义值（即不，您不需要调用 mysqli_real_escape_string）：数据库引擎会做那本身。

（实际上，如果您调用 mysql_real_escape_string 并使用绑定参数，您的字符串将被转义两次——这不太好：您最终会得到到处都是转义字符...）

作为旁注：您的值作为整数传递（如'ii'所示），因此您不必调用mysql_real_escape_string ，即使您没有使用准备好的语句：正如其名称所示，该函数用于转义...字符串。

对于整数，我通常只使用 intval 来确保我将数据注入到 SQL 中查询实际上是整数。

（但是，当您使用准备好的查询时，您不必自己进行这种转义）

Answer 2

不，你一定不能。将两者结合起来会产生
在数据中显示的可见转义字符中。

Answer 3

function dbPublish($status)    
{    
 global $dbcon, $dbtable;    

 if(isset($_GET['itemId']))    
 {    
  $sqlQuery = 'UPDATE ' . $dbtable . ' SET active = ? WHERE id = ?';    
  $stmt = $dbcon->prepare($sqlQuery);    
  $stmt->bind_param('ii', $status, $_GET['itemId']);    
  $stmt->execute();    
  $stmt->close();    
 }    
}