nieuw met PDO

Door Francoi gckx op 12-04-2013 11:35

816 views

Dus op advies van mensen hier leek het mij als beste om met PDO gaan te werken ipv dat ik het deed met mysqli

nou deed ik dat zo: $input['user'] = $mysqli->real_escape_string(htmlentities($_POST['username'], ENT_QUOTES));
en dat invoeren in de database

Nu is mijn vraag kan ik -->>> real_escape_string(htmlentities($value)) <<<--- in pdo gebruiken?

Ariën

12-04-2013 11:40 gewijzigd op 12-04-2013 11:42

Dat heb je in PDO niet nodig omdat dat bij 'prepared statements' die daarin worden gebruikt al zelf gebeurt.

Dat geldt ook als je de OOP-techniek met 'prepared statements' in MySQLi aan het benutten bent.

Erwin H

12-04-2013 11:45

Dat is waar als je gebruik maakt van prepared statements binnen PDO. Het is niet zo dat je alleen maar gebruik kan maken van prepared statements en ook zeker niet zo dat je dat altijd zou moeten doen. Gebruik je geen prepared statements, dan kan je quotes rond input zetten en de input escapen met de function quote:
http://php.net/manual/en/pdo.quote.php

Francoi gckx

12-04-2013 12:44

Ok bedankt

Erwin H - Ja dan gebruik ik liever gewoon prepared statements en hou ik dat andere als optie

Is het nou ook mogelijk (ik weet niet of er praktische nut in zit)
om beide te gebruiken voor zeg maar een/1 insert query ?

Joren de Wit

12-04-2013 13:08

Het is mogelijk, maar het is onlogisch.

Je zou je kunnen voorstellen dat je een query opstelt met een mix van placeholders (voor je prepared statement) en ingevulde waarden waarbij je strings door een real_escape functie (of de pdo variant quote()) gehaald hebt. Ik zie echter niet in waarom je dit zou doen aangezien je voor de ingevulde waarden ook gewoon een placeholder kunt gebruiken en vervolgens daar de juiste string aan kunt toewijzen (zonder dat je quote()) gebruikt.

Francoi gckx

12-04-2013 13:10

Ok interresant

Reageren

Inloggen om te reageren