对于此查询,需要使用mysql_real_escape_string
?
有什么改进或者查询没问题吗?
$consulta = $_REQUEST["term"]."%";
($sql = $db->prepare('select location from location_job where location like ?'));
$sql->bind_param('s', $consulta);
$sql->execute();
$sql->bind_result($location);
$data = array();
while ($sql->fetch()) {
$data[] = array('label' => $location);
}
在这种情况下,查询速度很重要。
不会,准备好的查询(如果使用得当)将确保数据不会更改您的 SQL 查询并提供安全查询。您正在正确使用它们,但您可以做一点小小的改变。因为你正在使用“?”占位符,通过execute方法传递参数更容易。
$sql->execute([$consulta]);
如果您将其输出到页面,请小心,SQL 参数绑定并不意味着它可以安全地在 HTML 中显示,因此运行htmlspecialchars()
输出时也会在上面。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)