Jak napisano w tytule, czy należy unikać wprowadzania danych przez użytkownika podczas używania metody bind_param() lub czy odbywa się to wewnętrznie?Czy muszę uciec od danych, aby chronić się przed iniekcją SQL podczas używania metody bind_param() w MySQLi?
Dziękuję.
Nie, nie ma potrzeby ucieczki przed danymi w celu ochrony przed iniekcją SQL podczas wiązania parametrów.
Nie zwalnia to jednak użytkownika z weryfikacji tych danych.
Podczas wiązania parametrów nie wykonuje się operacji ucieczki (wewnętrznie lub w inny sposób). Instrukcja SQL jest przygotowywana z symbolami zastępczymi, a wartości dla nich są przekazywane w czasie wykonywania.
Baza danych wie, jakie są parametry i traktuje je odpowiednio, w przeciwieństwie do interpolacji wartości SQL.
nr
Cytując ten
http://mysql.lamphost.net/tech-resources/articles/4.1/prepared-statements.html
„Normalnie, gdy masz do czynienia z zapytania ad hoc, trzeba być bardzo ostrożnym przy obsługi danych, która wpłynęła od użytkownika: To pociąga za sobą użycie funkcji, które wymykają się wszelkim niezbędnym problemom, takim jak pojedynczy cudzysłów, podwójny cudzysłów i ukośnik odwrotny characte rs. Nie jest to konieczne w przypadku sporządzania przygotowanych oświadczeń. Oddzielenie danych MySQL pozwala na automatyczne wziąć pod stanowią te znaki i nie muszą być chronione za pomocą dowolnego specjalną funkcję.”
Dziękuję, Phil. – Francisc