在 MySQLi 上使用 bind_param() 时，是否需要转义数据以防止 SQL 注入？

Question

正如标题所说，使用bind_param()时我是否必须转义用户输入，还是在内部完成的？

谢谢。

Answer 1

不，在绑定参数时，您不需要转义数据来防止 SQL 注入。

但这并不能免除您验证所述数据的责任。

绑定参数时，不会执行转义（内部或其他方式）。 SQL 语句是使用参数占位符准备的，并且这些占位符的值在执行时传递。

数据库知道参数是什么并相应地处理它们，而不是 SQL 值插值。

Answer 2

不。

引用此

http://mysql.lamphost.net/ tech-resources/articles/4.1/prepared-statements.html

“通常，当您处理临时查询时，您需要
处理从用户那里收到的数据时要非常小心。
这需要使用可以避免所有必要麻烦的函数
字符，例如单引号、双引号和反斜杠
人物。在处理准备好的语句时这是不必要的。
数据的分离允许MySQL自动考虑
考虑这些字符，并且不需要使用任何转义
特殊功能。”