Задать вопрос
@swcalc
php

Real escape string VS prepare?

Здравствуйте, подскажите, пожалуйста, что лучше использовать и так-ли уязвима real_escape_string?
Ситуация такова, что необходимо работать с username, password, email и token.
Что лучше подойдет для подготовки запроса к исполнению, привык к real_escape_string, но узнал, что имеет какие-то уязвимости и советуют prepare.
  • Вопрос задан
  • 204 просмотра
Комментировать
Подписаться 2 Оценить Комментировать
Решения вопроса 1
@IceJOKER
Web/Android developer
в данном случае нужны регулярки для username, password, email , чтоб лишних символов там не было и нет нужды фильтровать ничего, даже для token можно регуляркой проверить в зависимости от того, какими символами он ограничивается.

а насчет самого вопроса - юзайте prepare, где узнали про уязвимости real_escape_string? и что там было написано? можно и им пользоваться
Ответ написан
2 комментария
2 комментария
Пригласить эксперта
Ответы на вопрос 1
alexclear
@alexclear
A cat
При использовании prepared queries параметры запроса передаются отдельно от текста самого запроса, поэтому SQL injections становятся невозможны в принципе, by design.
Я не думаю, что real_escape_string уязвима, тем не менее, идея оградиться от возможности SQL injections прямо на уровне API работы с СУБД нравится мне гораздо больше.
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
PHP Developer
YCLIENTS Москва
от 200 000 до 350 000 ₽
PHP разработчик
Ведисофт Екатеринбург
от 25 000 ₽
Midlle PHP developer (backend)
ИТЦ Аусферр Магнитогорск
от 100 000 до 160 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Необходимо сверстать приложение согласно макету Figma используя React
26 апр. 2024, в 22:22
1500 руб./за проект
Написать модуль подключения матрицы Sony к ПЛИС (Verilog)
26 апр. 2024, в 21:30
15000 руб./за проект
8266 f12 требуется сделать ревью и оптимизировать работу
26 апр. 2024, в 20:42
2000 руб./за проект
Ещё заказы