В настоящее время я пишу приложение, требующее надежной защиты от SQL-инъекции. Мой вопрос таков. Является абсолютным требованием отделить ваши входные параметры от вашего оператора подготовки, чтобы предотвратить SQL-инъекцию, или вы можете просто подготовить какое-либо заявление, чтобы гарантировать, что он свободен от SQL-инъекций?mysqli_prepare как проверка, чтобы предотвратить SQL Injection
Другими словами, можно ли использовать mysqli_prepare как простую проверку, чтобы убедиться, что в запросе, который я ранее построил, нет введенного SQL? Или весь процесс привязки параметров и использование последующих структур операторов, возвращаемых для обработки информации, возвращаемой с сервера?
[Великий эскапизм (или: что вам нужно знать, чтобы работать с текстом в тексте)] (http://kunststube.net/escapism/) – deceze
@deceze хорошая серия статей у вас там ... была просто глядя на них прошлой ночью – Orangepill
[Должны ли вы использовать подготовленные операторы только для их экранирования?] (http://stackoverflow.com/a/16365669/285587) –