PHP将SQL模板和变量分两次发送给MySQL,由MySQL完成变量的转义处理.
既然SQL模板和变量是分两次发送的,那么就不存在SQL注入的问题了.
在MySQL的general_log里可以看到
参考地址: 参数化查询为什么可以避免sql注入呢?
PHP将SQL模板和变量分两次发送给MySQL,由MySQL完成变量的转义处理.
既然SQL模板和变量是分两次发送的,那么就不存在SQL注入的问题了.
在MySQL的general_log里可以看到
参考地址: 参数化查询为什么可以避免sql注入呢?