SQL Paramétrisation par rapport à Escaping
-
08-10-2019 - |
Question
Si votre langue / base de données de choix a une fonction intégrée pour échapper-entrée de l'utilisateur, (par exemple, mysql_real_escape_string) quels sont les arguments pour le paramétrage SQL? Est-il possible que la puissance de mysql_real_escape_string, à un moment donné, laisser une application vulnérable?
J'utiliser paramétrisation parce que j'ai dit / avoir lu c'est la meilleure façon d'aller, mais je ne veux juste suivre aveuglément. Toute idée? Merci!
La solution
Arguments pour le paramétrage est performances .
Si vous allez exécuter la phrase suivante plusieurs fois:
insert into table (col1, col2) values (?, ?);
Il est préférable d'utiliser des paramètres depuis la requête va être évaluée uniquement (analysé, analyse du plan et calcul) une fois, et sera exécuté plusieurs fois.