是的. 不需要.

設(shè)計(jì)之初，并不是為了防止注入的，但是這種參數(shù)化設(shè)計(jì)確實(shí)可以阻止絕大部分的注入，但是不敢保證全部或者將來(lái)不會(huì)被注入。

mysqli_的函數(shù)是MySqli類(lèi)下方法的過(guò)程式寫(xiě)法。PDO也是單獨(dú)的一套拓展，不必要使用mysqli_real_escape_string.

可以參考下文章 http://zhangxugg-163-com.itey... 雖然比較老，但是還是這個(gè)思想

那叫參數(shù)化查詢(xún)。其實(shí)最早參數(shù)化查詢(xún)?cè)O(shè)計(jì)出來(lái)不是為了防止sql注入的

預(yù)處理查詢(xún)是解決sql注入的銀彈