Xwab
Форумыnavigate_nextПрограммирование на PHP

Фильтрация в MySQLi
Сообщения
FeST

Нужно ли фильтровать mysqli запрос при записи в бд? Читал мануалы, так и не вкурил
$db->prepare("INSERT INTO `user`(`login`,`password`) VALUES(?, ?)");
$db->bind_param("ss", $login, $password);
добавлено спустя 47 секунд:
$login и password нужно ли прогонять через mysqli_real_escape_string и прочие фильтры?

14 Ноя 2012, 22:41
Your banny wrote

если записывается из глобальных массивов, то да

14 Ноя 2012, 22:42
FeST

Your banny wrote, на русском, пожалуйста

14 Ноя 2012, 22:46
Your banny wrote

фильтруй.

14 Ноя 2012, 22:48
san

в prepare statements не нужно.

14 Ноя 2012, 23:04
aBSuRD

FeST, подставляемые значения фильтруются автоматически ( те что в bind_param, execute... передаешь )
->prepare('UPDATE `user` SET `login`=? WHERE `id`=?')
->execute(array($login, $id));
тоже самое что и
->query('UPDATE `user` SET `login`='.$db->quote($login).' WHERE `id`='.$db->quote($id));
лучше погугли да поподробней почитай на эту тему

14 Ноя 2012, 23:17
FeST

aBSuRD, просто почитав форумы - одни говорят надо фильтровать,а другие нет. Вот решил тут еще спросить. У себя на сайте я не фильтровал, тк читал что когда в bind_param фильтрация не нужна

14 Ноя 2012, 23:19
AntoXa

FeST, напиши в скайп или аську. Я тебе скину класс удобный для работы с mysqli.

15 Ноя 2012, 12:45
COOLBOY007

AntoXa, а выложить для всех, не?

15 Ноя 2012, 19:16
FeST

COOLBOY007, иксклюзиф онли фор фест

15 Ноя 2012, 21:49
Ответить на тему