Hallo zusammen,
bisher nutzte ich in PHP die "klassischen"
MySQL-Funktionen und kümmerte mich selbst um das Escapen der Zeichenketten um
SQL-Injections zu verhindern.
Ich habe mich nun etwas in MySQLi eingearbeitet. Da nutzt man diese Parameter, wie sie überall bejubelt werden.
Muss ich mich dennoch selbst um das Escapen kümmern oder machen das die entsprechenden Funktionen für mich, da der Typ der Werte (String, Integer, ...) vorgegeben wird?
Hier ist mal ein Beispiel-Code. Die Zeichenkette 'de' ist nicht escaped:
Code:
$this->stmt = $this->db_connection->prepare(
'SELECT * FROM main_tabs
WHERE lang = ?
AND subcat_of = ?
ORDER BY position ASC');
$this->smt->bind_param('si', 'de', 5);
$this->stmt->execute();
Grüße, Matze