Mysql
 sql >> Base de données >  >> RDS >> Mysql

Utilisation de mysql_real_escape_string avec PDO (pas de connexion au serveur localhost)

Mélanger deux bibliothèques de base de données comme celle-ci est une mauvaise idée et potentiellement dangereux.

mysql_real_escape_string() a besoin d'un mysql_connect() classique existant connexion à la base de données (à partir de laquelle il peut obtenir des informations sur le jeu de caractères) pour être totalement sûre. La connexion PDO sera séparée, éventuellement avec des paramètres de jeu de caractères différents, ce qui entraînera finalement moins sécurité :

Utilisez PDO jusqu'au bout, il n'y a pas d'alternative.

Si vous ne souhaitez pas utiliser d'instructions préparées, PDO::quote devrait être la bonne fonction :

Notez cependant que même la page de manuel de cette fonction recommande d'utiliser à la place des instructions préparées.