SQL parametrizzazione vs. Escaping
-
08-10-2019 - |
Domanda
Se la tua lingua / database di riferimento ha un built-in funzione per sfuggire user-input, (per esempio, mysql_real_escape_string) quali sono gli argomenti a favore di SQL parametrizzazione? E 'possibile che mysql_real_escape_string forza, ad un certo punto, lascia un'applicazione vulnerabile?
Io uso la parametrizzazione, perché mi è stato detto / avere letto è il modo migliore per andare, ma io non voglio solo seguire ciecamente. Qualsiasi intuizione? Grazie!
Soluzione
Argomenti per la parametrizzazione è prestazioni .
Se avete intenzione di eseguire la seguente frase più volte:
insert into table (col1, col2) values (?, ?);
E 'preferibile utilizzare parametri poiché la query sta per essere valutata solo (analizzato, piano di analisi e di calcolo) una volta, e sarà eseguito molte volte.