Mysqli real escape string, следует ли использовать его?

Ответ 1

Вы должны использовать подготовленные инструкции и передавать строковые данные в качестве параметра, но вы не должны его избегать.

Этот пример взят из документации:

/* create a prepared statement */
if ($stmt = $mysqli->prepare("SELECT District FROM City WHERE Name=?")) {

    /* bind parameters for markers */
    $stmt->bind_param("s", $city);

    /* execute query */
    $stmt->execute();

    /* bind result variables */
    $stmt->bind_result($district);

    /* fetch value */
    $stmt->fetch();

    printf("%s is in district %s\n", $city, $district);

    /* close statement */
    $stmt->close();
}

Обратите внимание, что пример не вызывает mysqli_real_escape_string. Вам нужно было бы использовать mysqli_real_escape_string, если бы вы вставляли строку непосредственно в запрос, но я бы посоветовал вам никогда этого не делать. Всегда используйте параметры, когда это возможно.

Похожие

• Как я могу предотвратить SQL-инъекцию в PHP?

Ответ 2

Да, вы можете использовать mysqli_real_escape_string для форматирования строк, если вы собираетесь реализовать свой собственный процессор запросов, используя заполнители или какой-то конструктор запросов.

Если вы планируете использовать в своем коде функции открытого API (что, очевидно, неверно, но очень популяризировано местными людьми), лучше перейдите к подготовленным операциям.

Во всяком случае, вы не можете "исключить SQL-инъекцию", используя только эту функцию. mysql(i)_real_escape_string функции не предотвращают инъекции и не должны использоваться для какой-либо защиты.