Parametrelere bağlanırsam mysql_real_escape_string kullanmalı mıyım?

Question

Aşağıdaki kod var:

function dbPublish($status) 
{ 
global $dbcon, $dbtable; 

if(isset($_GET['itemId'])) 
{ 
    $sqlQuery = 'UPDATE ' . $dbtable . ' SET active = ? WHERE id = ?'; 
    $stmt = $dbcon->prepare($sqlQuery); 
    $stmt->bind_param('ii', $status, $_GET['itemId']); 
    $stmt->execute(); 
    $stmt->close(); 
} 
} 

Ben bu durumda mysql_real_escape_string veya i iyiyim gerekiyor mu? DB motoru kendisi yapacak:

Answer 1

Hayır, kendinizi sen hazırlanmış deyimleri kullanırken, (yani hayır mysqli_real_escape_string aramaya gerek yok) değerine kaçmak yok.

(eğer mysql_real_escape_string arayarak ve sınır parametreleri kullanılarak olsaydı Aslında, senin dizeleri iki kez kaçış alacağı - büyük olmaz ki: her yerde karakterleri kaçan ile bitirmek istiyorum ...)

Bir sidenote olarak: değerleriniz ('ii' ile belirtildiği gibi) olarak iletilir, bu nedenle hazır ifadeleri kullanmasanız bile mysql_real_escape_string'u aramak zorunda kalmazsınız: adının gösterdiği gibi, bu işlev kullanılır kaçmak ... dizeleri.

Tamsayılar için, SQL sorgularıma enjekte ettiğim verilerin gerçekten tamsayı olduğundan emin olmak için genellikle yalnızca intval kullanın.

(Ama, hazırlanan sorguları kullanarak gibi, bir kez daha, kendini kaçan bu tür yapmak zorunda değilsiniz)

Answer 2

Hayır, yapmamalısın. İkisini birleştirmek, verilerinizde görünen görünür kaçış karakterinde sonucunu verir.

Answer 3

function dbPublish($status)  
{  
global $dbcon, $dbtable;  

if(isset($_GET['itemId']))  
{  
    $sqlQuery = 'UPDATE ' . $dbtable . ' SET active = ? WHERE id = ?';  
    $stmt = $dbcon->prepare($sqlQuery);  
    $stmt->bind_param('ii', $status, $_GET['itemId']);  
    $stmt->execute();  
    $stmt->close();  
}  
}