MySQL 插入不受信任的数据

MySQL Insert un-trusted data

我看到很多 post 关于插入 MySQL 数据库。他们中的大量人似乎忘记了我们正在处理的用户输入。最好的办法是将数据插入 table。 mysqli_real_escape_string 可以吗?或者使用准备好的语句会是更好的选择,也许两者兼而有之?

mysqli_real_escape_string 很好,但作为准备好的语句并不总是安全的。

mysql_real_escape_string() 容易出现影响 addslashes() 的同类问题。

所以使用准备语句要好得多。