• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Mysqli - prepare czy real_escape_string

VPS Starter Arubacloud
+1 głos
245 wizyt
pytanie zadane 14 października 2020 w PHP przez Akiz521 Początkujący (480 p.)

Cześć czy jest jakaś różnica w bezpieczeństwie między:

1. mysqli: prepare

np. 

$stmt = $mysqli->prepare("SELECT * FROM myTable WHERE name = ? AND age = ?");
$stmt->bind_param("si", $_POST['name'], $_POST['age']);
$stmt->execute();

2. mysqli_real_escape_string

np.

function test($var) {

 $var = mysqli_real_escape_string($system_db_link, stripslashes($var));

 return $var;

}

 

Wtedy w czystym query np.:

'(...) WHERE user='.test($login).'LIMIT 1';

 

 

Co najlepiej używać? Najwygodniejsza byłaby opcja druga, bo można np. zrobić funkcje tak jak wyżej, więc będzie o wiele mniej linijek kodu.

 

1 odpowiedź

+1 głos
odpowiedź 15 października 2020 przez VBService Ekspert (251,210 p.)

Real escape string vs bind param

Tu masz przykład (db_functions.php), że $mysqli->prepare $stmt->bind_param, też można "wrzucić" do funkcji. wink

 

1
komentarz 15 października 2020 przez Akiz521 Początkujący (480 p.)
Dzięki za odpowiedź.

Pisząc o funkcji, miałem na myśli taką gotową/uniwersalną, bo w przypadku real_escape_string to mogę mieć przykładowo funkcję:

dbQuery() no i funkcję tę z mojego pierwszego postu: test(). Wtedy mogę użyć ich np. tak:

$costam = dbQuery('(...) WHERE user='.test($login).'LIMIT 1');
komentarz 15 października 2020 przez VBService Ekspert (251,210 p.)

@Lerion, spoko, podałem Tobie to jako przykład, ale ostateczna decyzja należy do Ciebie, w końcu to Twoje dzieło. wink

komentarz 15 października 2020 przez Akiz521 Początkujący (480 p.)
Rozumiem, może komuś przyjdzie do głowy jakieś rozwiązanie (nie oczekuję gotowca tylko chociaż pomysłu) żeby jakoś ułatwić zapytania do bazy (używając prepare).

Podobne pytania

0 głosów
0 odpowiedzi 84 wizyt
pytanie zadane 18 sierpnia 2020 w PHP przez Paweł Barszcz Użytkownik (950 p.)
0 głosów
1 odpowiedź 311 wizyt
pytanie zadane 6 marca 2020 w PHP przez chin24 Nowicjusz (150 p.)
0 głosów
1 odpowiedź 185 wizyt
pytanie zadane 2 maja 2018 w PHP przez Damian Prymus Początkujący (380 p.)

92,454 zapytań

141,262 odpowiedzi

319,089 komentarzy

61,854 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj.

Akademia Sekuraka

Akademia Sekuraka 2024 zapewnia dostęp do minimum 15 szkoleń online z bezpieczeństwa IT oraz dostęp także do materiałów z edycji Sekurak Academy z roku 2023!

Przy zakupie możecie skorzystać z kodu: pasja-akademia - użyjcie go w koszyku, a uzyskacie rabat -30% na bilety w wersji "Standard"! Więcej informacji na temat akademii 2024 znajdziecie tutaj. Dziękujemy ekipie Sekuraka za taką fajną zniżkę dla wszystkich Pasjonatów!

Akademia Sekuraka

Niedawno wystartował dodruk tej świetnej, rozchwytywanej książki (około 940 stron). Mamy dla Was kod: pasja (wpiszcie go w koszyku), dzięki któremu otrzymujemy 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla Pasjonatów! Książka to pierwszy tom z serii o ITsec, który łagodnie wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!

...