PHP：Prepared语句（新手），只需要确认这一点关于SQL注入

我很久以前用mysql_query（）来做我的东西，但现在我转向准备语句有两个原因：
性能和没有SQL注入的可能性

这就是我使用它的方式：

function add_new_user($e_mail1,$username,$pass)
    {
    require_once "db.php";

$stmt = $mysqli->prepare("INSERT INTO un_users VALUES ('',?, ?,0,0,?,0)");
$stmt->bind_param('sss', $e_mail1, $username,$pass); 

$stmt->execute();    
$stmt->close();
    }

当我将它们传递给函数或其他任何东西时($e_mail1,$username,$pass)我不会净化这三个变量($e_mail1,$username,$pass) 。

我是以正确的方式做事还是我在某处搞砸了，还是需要做别的事情？ 我是一个新手（仍然通过文档），所以随时可以淋浴你的知识：D

谢谢！

---

是的，你做得对。

链接地址: http://www.djcxy.com/p/7801.html

上一篇: PHP: Prepared statements (newbie), just need to confirm this about SQL injection

下一篇: Selenium 2: Interrupt a page load