我目前正在使用不推荐使用的代码来从用户那里获取数据,如下所示:
/* retrieve */
$lastName = $_POST['lastName'];
$firstName = $_POST['firstName'];
$examLevel=$_POST['level'];
/* connect */
$dbc=mysql_connect("localhost", "user", "passw") or die('Error connecting to MySQL server');
mysql_select_db("db") or die('Error selecting database.');
/* sanitize */
$lastName=mysql_real_escape_string($lastName);
$firstName=mysql_real_escape_string($firstName);
$examLevel=mysql_real_escape_string($examLevel);
/* insert */
$query_personal = "INSERT INTO personal (LastName, FirstName) VALUES ('$lastName', '$firstName')";
$query_exam = "INSERT INTO exam (Level, Centre, BackupCentre, etc.) VALUES ('$examLevel', '$centre', '$backup', 'etc')";
这是有效的,但我不断发现有关安全性和缺乏支持的警告.有一个小的重写连接mysqli而不是mysql但是mysqli_real_escape_string怎么样?我已经看到它在示例中使用但我也看到了使用预处理语句的建议,而不使用mysqli_real_escape_string.
我如何使用预准备语句来插入我的数据?到目前为止,我有点在海上.例如,仅针对INSERT的参数绑定和仅针对SELECT的结果绑定吗?