0

現時点ではこれを使用しています:

$result=mysqli_query($sqlHp,"UPDATE database.account SET coins='500' WHERE id='".$_SESSION["userid"]."'");

さて、私の質問は、そのクエリを次のように変更する必要があります。

$result=mysqli_query($sqlHp,"UPDATE database.account SET coins='500' WHERE id='".mysqli_real_escape_string($sqlHp,$_SESSION["userid"])."'");

または、SESSION を使用する場合、mysqli_real_escape_string は不要ですか?

4

1 に答える 1

2

変数がバインドされたプリペアド ステートメントを使用することをお勧めしますが、次の形式を使用する場合は、次のようにします。

  • int値が整数であると想定されている場合は、キャストします(そして引用符を削除します...)。
  • mysqli_real_escape_string値が文字列の場合は、値を使用して引用符で囲む必要があります。値がセッションなどの信頼できるソースからのものであっても、文字列には文字が含まれている可能性があり'、クエリが壊れる可能性があります。
于 2013-11-01T00:57:39.137 に答える