![]() |
1
24
它可以防止SQL注入,而不是XSS,以及 没有代码或函数 这会清理参数数据。 保护是通过将参数值与查询字符串分开传输到服务器来实现的,这样这些值就可以 从不 直接替换到sql语句中。
更像是它运行的是这样的东西:
这比必须评估参数数据的函数更快、更安全、更健壮。这样一个函数需要非常复杂(读:容易出错)才能处理这样的事情 custom escape characters 这巧妙地回避了整个问题:数据就是数据,代码就是代码,两者永远不会相遇。
不,那是不对的。变量是直接从数据块创建的,因此不需要特殊的转义或编码。 |