Нужна помощь по MySQLi

eGo (30 Июля 2011 / 19:27)
5. SANEK333, а у меня по старинке, mysqli_real_escape_string исключает инъекцию

если ты не используешь подготовленных выражений то иньекция очень даже возможна, так что правильно

Добавлено через 00:24 сек.
9. SANEK333, бывает

11. ramzes, почему - то на mysql нет этих prepared statements, и никого это не парит в принципе. не ломают вроде как
кстати, если я использую при инсерте синтаксис такой:

insert into `table` set `field`='value',`field2`='value2'

то можно юзать эти подготовленные выражения?

12. eGo, ломают..и в больше степени дырки от усталости и невнимательности..по глупости выходит, а приучив себя к prepare усталость перестает быть проблемой, в плане инъекций.

12. eGo, дык фильтруют же данные, просто шаблоны защищены изначально, они на сервере проверяются, при их отправке

13. SANEK333, львиная доля существующих скриптов на базе mysql написаны.
там нет этих prepare(), execute(), вместо них - mysql_real_escape_string(). где ж тогда эти кулхацкеры?

15. eGo,
>>вместо них - mysql_real_escape_string()
не в место, это вообще не относится к шаблонам запросов

16. ramzes, ну я понимаю что это совершенно разные вещи. только у них есть одна общая черта: исключать возможность инъекции.
а товарисч выше говорит что mysql_real_escape_string() нифига не безопасно.
так я и спрашиваю, где ж эти кулхацкеры тогда?

15. eGo, введи в гугле sql инъекция и найдкшь. Когда пишешь большой объем кода, то большая вероятность пропустить, если заранее не структуризировать код, что часто в вапе.

Добавлено через 02:25 сек.
17. eGo, учись понимать контекст, прежде чем словами бросаться, Я о человеческом факторе, а не о несовершенстве функции.

18. SANEK333, ну тогда понятно, вопросы отпали
все, кроме того, что я задал в 12 посте

19. eGo, в пдо.
$sql=$db->prepare("insert into `table` set `field`=?,`field2`=?");
$sql->execute(array('value1','value2'));