Mam to pytanie, aby wyjaśnić. Czytałem trochę dokumentacji i komentarzy, ale wciąż coś jest po prostu mało jasne.CHNP vs MYSQLI, Przygotowane parametry i parametry wiązania
- Rozumiem, że PDO oferuje więcej sterowników, co z pewnością jest plusem, jeśli kiedykolwiek zmieniłbyś swój typ bazy danych.
- Jak powiedział na innym stanowisku, PDO robi oferują prawdziwe przygotowanych sprawozdań, ale mysqli ma więc byłoby bezpieczniejsze w użyciu mysqli
- Benchmarki wygląda podobnie (nie testowałem go samodzielnie, ale sprawdził się po internecie przez kilka benchmarków)
- Orientacja obiektowa nie stanowi dla mnie problemu, ponieważ program mysqli nadrabia zaległości. Ale byłoby miło porównać procedurę mysqli z ChNP, ponieważ procedura powinna być nieco szybsza.
Ale oto moje pytanie, z przygotowanym oświadczeniem, czy musimy używać wiązania parametrów z danymi, których używamy w naszym oświadczeniu? dobra praktyka czy trzeba? Rozumiem, że przygotowane instrukcje są dobre pod względem perfermancji, jeśli wielokrotnie uruchamiasz to samo zapytanie, ale czy wystarczy samo zabezpieczenie kwerendy? lub wiążące parametry to konieczność? Czym dokładnie są parametry wiązania i jak to działa, aby chronić dane przed iniekcją sql? Byłoby to również docenione, jeśli wskażesz jakiekolwiek nieporozumienie dotyczące stwierdzeń, które przedstawiłem powyżej.
dzięki
[Czy należy używać przygotowanych wyciągów tylko dla ich uniknięcia?] (Http://stackoverflow.com/a/16365669/285587) –
Co to jest stanowisko stwierdzające, że ChNP nie obsługuje natywnych przygotowanych wyciągów? Musi zostać usunięty lub co najmniej cofnięty –
http://stackoverflow.com/questions/134099/are-pdo-prepared-statements-sufficient-to-prevent-sql-injection, Quote => "Ważna rzecz do zrealizowania tutaj jest to, że PDO domyślnie NIE wykonuje prawdziwych przygotowanych instrukcji, emuluje je (dla MySQL). ", Może być źle zrozumiany ... – Leon