mysqli_real_escape_string gebruiken bij prepared statements ?

Door Tijn Snijders op 02-07-2014 10:35

750 views

Is het aan te raden om mysqli_real_escape_string te gebruiken, ook bij prepared statements ? Omdat je daarbij al aangeeft wat voor soort param het is..

Simpele vraag, ik kan het antwoord alleen zo 123 niet vinden. (In ColdFusion hoeft dat namelijk niet persee, maar of het in PHP wel gebruikelijk is weet ik niet.)

E Erwin H

02-07-2014 10:47

Ligt eraan hoe je de variabelen in een prepared statement gebruikt. Als je alle variabelen via binded parameters in de query zet dan hoef je niet meer te escapen. Elke variabele die je echter nog direct erin plakt, in de query string, die zal je alsnog moeten escapen.

Ivo P

02-07-2014 10:50

als je zowel escape-t als ook prepared statements gebruikt, zal in je database uiteindelijk ook de \ terecht komen.

En dan heb je vervolgens weer stripslashes nodig om die overbodige slashes kwijt te raken.:

Tijn Snijders

02-07-2014 11:39

met andere woorden, beter niet escapen als je bind_param gebruikt ?

Ivo P

02-07-2014 11:41

niet "beter".
Gewoon niet.

Anders heb je in je tabel "foto\'s" staan, en nadat je de tekst edit en weer opslaat: "foto\\\'s" etc

(dwz: als je de waarde ook inschiet zoals bedoeld met prepared statements.
Als je de string zelf in de query plakt dan is het een ander verhaal)

Tijn Snijders

02-07-2014 11:53

thumbs-up !

thnx !

Reageren

Inloggen om te reageren