私は、Webセキュリティにいくつかの研究をやっている、と私の記事の改訂は言った:SQLインジェクションの防止 - プリペアドステートメントを使用する場合、なぜ入力をエスケープする必要がありますか?
「アプリケーションは、プリペアドステートメントを使用するストアドプロシージャと入力をエスケープする必要があり、SQLインジェクションを防ぐためにことは明らかです」
私の質問です:これらの方法の1つでは不十分ですか? OK、プリペアドステートメントやストアドプロシージャは単純なエスケープより優れていますが、PDOを使用すると、なぜ私は入力をエスケープするか、ストアドプロシージャを持つべきですか?これは理にかなっていますか?
「(準備されたステートメントまたはストアドプロシージャ)と入力をエスケープ」*。 :)(それは私の愚かかもしれないが)正直に言うと、私は* *としてそれを解釈する「ステートメントまたはストアドプロシージャを作成したり、入力をエスケープ」でしょう。ありがとう。 –