Hlavní navigace

Názor k článku PHP okénko: Escapování od Jakub Vrána - Myslí se tím nemíchání SQL dotazů s daty....

  • Článek je starý, nové názory již nelze přidávat.
  • 2. 5. 2005 10:07

    Jakub Vrána
    Myslí se tím nemíchání SQL dotazů s daty. Některé extenze (např. MySQL) to přímo nepodporují, jiné ano (např. MySQLi), existují také knihovny, které to zařídí (např. PEAR::DB). Kód pak může vypadat nějak takhle:

    $stmt = $mysqli->prepare("SELECT * FROM tabulka WHERE nazev = ? OR id = ?");
    $stmt->bind_param("si", $_GET["nazev"], $_GET["id"]);
    $stmt->execute();

    Žádné addslashes() pak není potřeba.