1
Wie schütze ich mich vor SQL-Injection, wenn ich die Website in PHP geschrieben habe? Kann ich vorbereitete Aussagen verwenden? Oder gibt es andere Möglichkeiten?Schutz vor SQL-Injection - PHP Prozedur
Beispiel:
$query ="INSERT INTO users (name,username,password,email,gender) VALUES ('$name','$username','$password','$email','$gender')";
$result = mysqli_query($connect,$query) or die ("Error : ". mysqli_error($connect));
PDO-Abfragen verwenden – Marcin
Vorbereitete Anweisungen verwenden. Ja, es ist möglich, sie mit der prozeduralen Schnittstelle zu verwenden. Siehe [die Beispiele in den Dokumenten] (http://php.net/manual/en/mysqli.prepare.php#refsect1-mysqli.prepare-examples). Es gibt ein OO-Beispiel und ein Verfahrensbeispiel. –
Sie haben eine korrekte Antwort erhalten. Meiner Meinung nach ist PDO/mysql einfacher zu benutzen als mysqli. In jedem Fall gehen die Verwendungsparameter und die Bedenken bezüglich Entweichen oder Sql-Injektion im Wesentlichen weg. – gview