केवल तैयार किए गए कथन स्वचालित रूप से भागने की सुविधा प्रदान करते हैं, यह मानते हुए कि आपके पास कुछ कुरूपता नहीं है जैसे जादू उद्धरण सक्षम हैं। और केवल पैरा में डेटा बच जाता है, कुछ भी नहीं जो पहले से SQL स्ट्रिंग में है जब आप कथन तैयार करते हैं।
अगर आप ऑटो एस्केपिंग के लाभ चाहते हैं, तो आपको एक स्टेटमेंट तैयार करना होगा और डेटा को अलग से फीड करना होगा।
$sth = $dbh->prepare("SELECT * FROM users WHERE username=? AND password=?");
$sth->execute(array($username, $password));
अन्यथा, आपको mysqli_query
. पर बहुत कम या कोई सुरक्षा नहीं मिलती है और मित्र। (मैं उल्लेख करने . से भी इनकार करता हूं mysql_query
, क्योंकि कोई भी स्वाभिमानी PHP प्रोग्रामर अब इसका उपयोग नहीं करता है। ओह, रुको.. अरे नहीं। खैर, यहाँ केवल यही उल्लेख मिलता है।)