Я знаю, что mysqli_real_escape_string
Функция может использоваться для предотвращения инъекций SQL. (Однако mysql_real_escape_string() не будет защищать вас от некоторых инъекций)Когда я должен использовать PHP mysqli_real_escape_string()?
Мой вопрос в том, когда следует использовать функцию mysqli_real_escape_string()?
Ситуация 01
У меня есть регистрационная форма с 4 полей под названием Имя, Фамилия, электронная почта, пароль.
Должен ли я использовать mysqli_real_escape_string() для вставки запроса? Все четыре поля?
Или его достаточно использовать в форме входа?
Ситуация 02
У меня есть страница профиля как profile.php? User_name = damith
я использовал $ _GET [ 'user_name'] во многих функциях на этой странице.
Должен ли я использовать mysqli_real_escape_string() во всех этих функциях?
Я бы рекомендовал просто всегда использовать параметризованные запросы. Когда вы забудете использовать эту функцию в каком-то запросе, вы, возможно, сделали огромную ошибку, которая ставит под угрозу все данные. С параметризованным вы должны написать запрос, чтобы быть восприимчивым. http://php.net/manual/en/mysqli.quickstart.prepared-statements.php – chris85