mysql - 我需要转义子查询吗？

Question

我有一个像这样的 SQL 查询:

UPDATE User SET flag='Y' WHERE email=(SELECT email FROM Forum WHERE id='$id');

因为邮件地址可以由单引号和一些特殊字符组成(s*a'{f`%$.=*+~&^#|g!/hd@[66.112. 45.34] 和 vy."(),:;<>[]".VY."vy\\\@\"vy".unal@str.exe.com 都是有效的电子邮件地址)，我不确定它是否有必要单独进行子查询，转义输出，然后在主查询中使用它。

你有什么建议？

添加注意:$id 是一个安全号码。

Answer 1

你不需要转义任何东西，因为有一个子查询，但是你当然需要转义id值以将它放入字符串中。

如果可能，您应该使用参数化查询，而不是将值连接到字符串中。那么你就不必逃避任何事情。