Które rozwiązanie jest lepsze, bezpieczniejsze

Question

przychodzę dziś do was z pytaniem które rozwiązanie na wykonywanie zapytań w PHP stosować? Które z nich jest bezpieczniejsze pod kątem SQL injection?

Sposób z funkcją query?

$wynik = $polaczenie->query("INSERT INTO tabela VALUES('$val','$val2','$val3'");

Czy polecenia przygotowane?

$query = "INSERT INTO tabela VALUES(?,?,?)";
$polecenie->$polaczenie->prepare($query);
$polecenie->bind_param("iii",$val1,$val2,$val3);
$polecenie->execute();

 

Answer 1

2 opcja bezpieczniejsza, bo nie będzie możliwa modyfikacja zapytania.

W pierwszym zapytaniu jeżeli w zmiennej $val3 znalazło by się np. dowolnytekst'); DELETE FROM tabela; --

to usunięte zostałyby wszystkie dane z tabeli. Warto też oprócz przygotowania samego zapytania sprawdzać po stronie php czy wstawiane dane są poprawne. Np. jeżeli zmienna powinna być cyfrą to wcześniej sprawdzasz czy rzeczywiście tak jest funkcją is_numeric