mysqli_real_escape_string gebruiken bij prepared statements ?

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Tijn Snijders

Tijn Snijders

02/07/2014 10:35:28
Quote Anchor link
Is het aan te raden om mysqli_real_escape_string te gebruiken, ook bij prepared statements ? Omdat je daarbij al aangeeft wat voor soort param het is..

Simpele vraag, ik kan het antwoord alleen zo 123 niet vinden. (In ColdFusion hoeft dat namelijk niet persee, maar of het in PHP wel gebruikelijk is weet ik niet.)
 
PHP hulp

PHP hulp

28/12/2024 06:40:58
 
Erwin H

Erwin H

02/07/2014 10:47:29
Quote Anchor link
Ligt eraan hoe je de variabelen in een prepared statement gebruikt. Als je alle variabelen via binded parameters in de query zet dan hoef je niet meer te escapen. Elke variabele die je echter nog direct erin plakt, in de query string, die zal je alsnog moeten escapen.
 
Ivo P

Ivo P

02/07/2014 10:50:12
Quote Anchor link
als je zowel escape-t als ook prepared statements gebruikt, zal in je database uiteindelijk ook de \ terecht komen.

En dan heb je vervolgens weer stripslashes nodig om die overbodige slashes kwijt te raken.:
 
Tijn Snijders

Tijn Snijders

02/07/2014 11:39:31
Quote Anchor link
met andere woorden, beter niet escapen als je bind_param gebruikt ?
 
Ivo P

Ivo P

02/07/2014 11:41:42
Quote Anchor link
niet "beter".
Gewoon niet.

Anders heb je in je tabel "foto\'s" staan, en nadat je de tekst edit en weer opslaat: "foto\\\'s" etc

(dwz: als je de waarde ook inschiet zoals bedoeld met prepared statements.
Als je de string zelf in de query plakt dan is het een ander verhaal)
 
Tijn Snijders

Tijn Snijders

02/07/2014 11:53:05
Quote Anchor link
thumbs-up !

thnx !
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.