mysqli_real_escape_string gebruiken bij prepared statements ?
Tijn Snijders
02/07/2014 10:35:28Is het aan te raden om mysqli_real_escape_string te gebruiken, ook bij prepared statements ? Omdat je daarbij al aangeeft wat voor soort param het is..
Simpele vraag, ik kan het antwoord alleen zo 123 niet vinden. (In ColdFusion hoeft dat namelijk niet persee, maar of het in PHP wel gebruikelijk is weet ik niet.)
Simpele vraag, ik kan het antwoord alleen zo 123 niet vinden. (In ColdFusion hoeft dat namelijk niet persee, maar of het in PHP wel gebruikelijk is weet ik niet.)
PHP hulp
28/12/2024 06:40:58Erwin H
02/07/2014 10:47:29Ligt eraan hoe je de variabelen in een prepared statement gebruikt. Als je alle variabelen via binded parameters in de query zet dan hoef je niet meer te escapen. Elke variabele die je echter nog direct erin plakt, in de query string, die zal je alsnog moeten escapen.
Ivo P
02/07/2014 10:50:12als je zowel escape-t als ook prepared statements gebruikt, zal in je database uiteindelijk ook de \ terecht komen.
En dan heb je vervolgens weer stripslashes nodig om die overbodige slashes kwijt te raken.:
En dan heb je vervolgens weer stripslashes nodig om die overbodige slashes kwijt te raken.:
Tijn Snijders
02/07/2014 11:39:31Ivo P
02/07/2014 11:41:42niet "beter".
Gewoon niet.
Anders heb je in je tabel "foto\'s" staan, en nadat je de tekst edit en weer opslaat: "foto\\\'s" etc
(dwz: als je de waarde ook inschiet zoals bedoeld met prepared statements.
Als je de string zelf in de query plakt dan is het een ander verhaal)
Gewoon niet.
Anders heb je in je tabel "foto\'s" staan, en nadat je de tekst edit en weer opslaat: "foto\\\'s" etc
(dwz: als je de waarde ook inschiet zoals bedoeld met prepared statements.
Als je de string zelf in de query plakt dan is het een ander verhaal)