为什么使用mysql预处理语句比使用普通转义功能更安全?-问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文

为什么使用mysql预处理语句比使用普通转义功能更安全?

保持可爱mmm 2020-05-11 16:56:55 93

在另一个问题中有一条评论说:

“涉及数据库查询时,请始终尝试使用预先准备好的参数化查询。mysqli和PDO库支持此操作。这比使用转义函数(例如mysql_real_escape_string)绝对安全。”

资源

因此,我想问的是:为什么准备好的参数化查询更安全?

安全功能 mysql功能 c++预处理 mysql安全 功能处理
分享到
取消 提交回答
全部回答(1)
  • 保持可爱mmm
    2020-05-11 16:57:06

    我认为这里的人们所缺少的重要一点是,有了支持参数化查询的数据库,就不必担心“转义”。数据库引擎不会将绑定的变量组合到SQL语句中,然后再分析整个内容。绑定变量保持独立,并且永远不会解析为通用SQL语句。

    这就是安全性和速度的来源。数据库引擎知道占位符仅包含数据,因此永远不会将其解析为完整的SQL语句。当您一次准备一条语句然后执行多次时,就会提速。典型示例是将多个记录插入到同一表中。在这种情况下,数据库引擎仅需要解析,优化等一次。

    现在,数据库抽象库是一个难题。他们有时只是通过以适当的转义将绑定变量插入SQL语句中来伪造它。尽管如此,这总比自己动手做更好。来源:stack overflow

    0 0
数据库
使用钉钉扫一扫加入圈子
+ 订阅

分享数据库前沿,解构实战干货,推动数据库技术变革

相似问题
最新问题
推荐课程