Mysqli - prepare czy real_escape_string

pytanie zadane 14 października 2020 w PHP przez Akiz521 Początkujący (480 p.)

Cześć czy jest jakaś różnica w bezpieczeństwie między:

1. mysqli: prepare

np.

$stmt = $mysqli->prepare("SELECT * FROM myTable WHERE name = ? AND age = ?");
$stmt->bind_param("si", $_POST['name'], $_POST['age']);
$stmt->execute();

2. mysqli_real_escape_string

np.

function test($var) {

 $var = mysqli_real_escape_string($system_db_link, stripslashes($var));

 return $var;

}

Wtedy w czystym query np.:

'(...) WHERE user='.test($login).'LIMIT 1';

Co najlepiej używać? Najwygodniejsza byłaby opcja druga, bo można np. zrobić funkcje tak jak wyżej, więc będzie o wiele mniej linijek kodu.

1 odpowiedź

odpowiedź 15 października 2020 przez VBService Ekspert (256,580 p.)

Real escape string vs bind param

Tu masz przykład (db_functions.php), że $mysqli->prepare i $stmt->bind_param, też można "wrzucić" do funkcji.

komentarz 15 października 2020 przez Akiz521 Początkujący (480 p.)

Dzięki za odpowiedź.

Pisząc o funkcji, miałem na myśli taką gotową/uniwersalną, bo w przypadku real_escape_string to mogę mieć przykładowo funkcję:

dbQuery() no i funkcję tę z mojego pierwszego postu: test(). Wtedy mogę użyć ich np. tak:

$costam = dbQuery('(...) WHERE user='.test($login).'LIMIT 1');

komentarz 15 października 2020 przez VBService Ekspert (256,580 p.)

@Lerion, spoko, podałem Tobie to jako przykład, ale ostateczna decyzja należy do Ciebie, w końcu to Twoje dzieło.

komentarz 15 października 2020 przez Akiz521 Początkujący (480 p.)

Rozumiem, może komuś przyjdzie do głowy jakieś rozwiązanie (nie oczekuję gotowca tylko chociaż pomysłu) żeby jakoś ułatwić zapytania do bazy (używając prepare).