首先,我理解人们想使用存储过程是为了重用查询并处理转义。但是,我读到很多开发人员说
就我有限的知识而言,
编辑:我忘记添加一些关键信息:假设字符集为 UTF8,并已相应地调用 mysqli_set_charset。我看到的唯一注入依赖于一些字符集(其中没有 UTF8)。
mysqli_real_escape_string
不能百分之百地防止 SQL 注入攻击。有人能否举个例子呢?就我有限的知识而言,
mysqli_real_escape_string
对于字符串始终可以正常工作,但对于数值类型,除非您检查数字是否为 int、float、double 等,否则可能会被捕获。编辑:我忘记添加一些关键信息:假设字符集为 UTF8,并已相应地调用 mysqli_set_charset。我看到的唯一注入依赖于一些字符集(其中没有 UTF8)。