هل وظيفة mysql_real_escape_string() مطلوبة مع البيانات المعدة؟

عند استخدام البيانات المعدة كما في الاستعلام المحدد:

$sql = $db->prepare('select location from location_job where location like ?');

$sql->bind_param('s', $consulta);
$sql->execute();
$sql->bind_result($location);

وظيفة mysql_real_escape_string() ليست ضرورية لأن البيانات المعدة توفر طريقة آمنة لمنع هجمات حقن SQL عن طريق الهروب من أي أحرف خاصة داخل الإدخال.

أحد الاقتراحات لتحسين الاستعلام هو استخدام "؟" العنصر النائب، مما يتيح لك تمرير المعلمات بشكل أكثر سهولة من خلال طريقة التنفيذ:

$sql->execute([$consulta]);

ومع ذلك، تأكد من تنظيف إدخال المستخدم باستخدام htmlspecialchars () قبل عرضه لمنع ثغرات البرمجة النصية عبر المواقع.