-1
Wenn Sie htmlspecialchars() verwenden beim Empfang Eingabe vom Benutzer, wie:Muss eine vorbereitete Anweisung in einer SELECT-Abfrage verwendet werden?
$email = htmlspecialchars($_POST['email']);
Sollten Sie eine vorbereitete Anweisung verwenden, wenn die Abfrage nur ein ist SELECT ein?
Ja. Immer. Nächster. – Strawberry
Sie mischen Äpfel und Orangen. ['htmlspecialchars()'] (http://php.net/manual/en/function.htmmlspecialchars.php) hat nichts mit Eingaben zu tun. Es wird verwendet, um korrekte HTML-Ausgabe zu erzeugen. MySQL und die vorbereiteten Anweisungen sind auch in keiner Weise mit Eingabe, Ausgabe oder 'htmlspecialchars()' verwandt. Es gibt viele Gründe, warum eine vorbereitete SELECT-Anweisung besser ist als eine Abfrage, die durch das Verknüpfen von Strings erstellt wird (unabhängig davon, woher die Strings kommen). Das Vermeiden von [SQL-Injektionen] (https://en.wikipedia.org/wiki/SQL_injection) ist eine von ihnen (und wahrscheinlich die wichtigste). – axiac