Я учусь MySQLi подготовлены заявления и есть несколько вопросов по этому поводуMysqli подготовленного заявление для не динамических переменной
Из того, что я понял, мы используем подготовленное заявление для тех запросов, которые имеют динамические переменные в них например, при входе в систему - адрес электронной почты &.
Я хочу знать, необходимы ли подготовленные заявления для запросов, где нет динамического элемента, например, для извлечения пользователей из базы данных. Если я сделаю это, как показано ниже запрос делает это делает его уязвимым
SELECT name, email FROM users
Как я могу использовать подготовленное заявление без привязки параметров?
Как и в PDO мы делаем, как это
$array=array($email,$pass);
$db->query("SELECT name from users where email=? and password=?");
$db->execute($array);
Могу ли я сделать что-то подобное в MySQLi? Я искал и нашел результаты, которые используют параметр привязки, ничего, не используя bind.?
Первый из них довольно глупый, и вы можете ответить на него сами. Что касается второго - либо напишите * свою оболочку *, либо переключитесь на PDO. –
Посмотрите здесь http://stackoverflow.com/questions/5108414/mysqli-query-vs-prepare – AdRock