Mysql
 sql >> Base de données >  >> RDS >> Mysql

mysql(i)_real_escape_string, fiable ?

L'utilisation de paramètres liés n'est pas exagéré et devrait être exigé. Il s'échappera plus efficacement et préparera vos paramètres.

$stmt = mysqli_prepare($link, "INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)");
mysqli_stmt_bind_param($stmt, 'sssd', $code, $language, $official, $percent);

$code = 'DEU';
$language = 'Bavarian';
$official = "F";
$percent = 11.2;

/* execute prepared statement */
mysqli_stmt_execute($stmt);

Est-ce vraiment semble exagéré ?

Documentation