Question

私はちょっと混乱しています。

以下のコードでは、代わりに準備を使用する必要がありますか？このコードを使用すると、$ nameはエスケープされますか、またはmysql_real_escape_stringを使用する必要がありますか？読みやすい台無しにくい堅牢だ

$stmt = $db->query("UPDATE matches SET playerStatus = 4 WHERE name='$name' "); 

おかげ

Answer 1

周りの長い道のりを取ると、使用準備と

をバインドするとき、私は少し混乱しています、 、簡単にアプローチを維持する。それを「長い道のり」とは考えないでください。

代わりに次のコードを使用しますか？

はい。束縛された引数を使用できるものを常に使用してください。私はこのコードを使用する場合は、$名がエスケープされる

、

問題のコード、書かれたとして、$queryをエスケープしません。あなたは文字列をマッシュしているだけです。あなたが書いたSQLは何か、安全でない外部データは何かをデータベースコードが知る方法はありません。

またはmysql_real_escape_stringを使用する必要がありますか？

バインドされた引数を使用できるものを使用する必要があります。