SQL parametrización vs Escapar
-
08-10-2019 - |
Pregunta
Si su idioma / base de datos de elección tiene una función integrada de escapar de entrada del usuario, (por ejemplo, mysql_real_escape_string) ¿cuáles son los argumentos para la parametrización de SQL? ¿Es posible que la fuerza mysql_real_escape_string, en algún momento, deje una aplicación vulnerable?
Puedo utilizar la parametrización, porque me han dicho / haber leído que es el mejor camino a seguir, pero no sólo que quiera seguir a ciegas. Cualquier idea? Gracias!
Solución
Los argumentos para la parametrización es rendimiento .
Si va a ejecutar la siguiente frase varias veces:
insert into table (col1, col2) values (?, ?);
Es mejor utilizar parámetros desde la consulta va a ser evaluado solamente (analizada, el análisis y el cálculo del plan) una vez, y será ejecutado muchas veces.