Mysqli - prepare czy real_escape_string

Wed, 14 Oct 2020 17:55:45 +0000

Cześć czy jest jakaś różnica w bezpieczeństwie między:

1. mysqli: prepare

np.

$stmt = $mysqli->prepare("SELECT * FROM myTable WHERE name = ? AND age = ?");
$stmt->bind_param("si", $_POST['name'], $_POST['age']);
$stmt->execute();

2. mysqli_real_escape_string

np.

function test($var) {

 $var = mysqli_real_escape_string($system_db_link, stripslashes($var));

 return $var;

}

Wtedy w czystym query np.:

'(...) WHERE user='.test($login).'LIMIT 1';

Co najlepiej używać? Najwygodniejsza byłaby opcja druga, bo można np. zrobić funkcje tak jak wyżej, więc będzie o wiele mniej linijek kodu.

MYSQLI prepare - nie działa zapytanie

Tue, 18 Aug 2020 11:09:42 +0000

Witam,posiadam zapytanie, które nie działa - debuguje już parę godzin i nie mam pojęcia o co chodzi.

foreach($oferty as $oferta){
		$stmt = $connect_sql->prepare("SELECT `id_oferta` FROM `pozyczki_chwilowki` WHERE `id_oferta` = ? AND ? >= `wiek_od` AND ? <= `wiek_do`");
		$stmt->bind_param('iii',$oferta,$wiek,$wiek);
		$stmt->execute();
		$stmt->bind_result($id_oferta);
		
		while ($row = $stmt->fetch()){
			echo $id_oferta;
		}
	}

Dodam, że $oferta - zwraca mi id (48,53,54), samo zapytanie w SQL działa, lecz w PHP poprzed "prepare" już nie.
parametry ustawiłem w zmiennych na sztywno, aby mieć pewność, że przyjmują dobre dane, dane w sql o takich parametrach również istnieją.

Czy może konstrukcja jest źle skonstruowana?

Forum Pasja Informatyki - Najnowsze z tagiem prepare

Mysqli - prepare czy real_escape_string

MYSQLI prepare - nie działa zapytanie