Если ваш язык/база данных по выбору имеет встроенную функцию для выхода из пользовательского ввода (например, mysql_real_escape_string), какие аргументы для параметризации SQL? Возможно ли, что mysql_real_escape_string может в какой-то момент оставить уязвимым приложение?SQL-параметризация и экранирование
Я использую параметризацию, потому что мне сказали/прочитали, что это лучший способ пойти, но я не просто хочу слепо следовать. Любое понимание? Благодаря!
Итак, с точки зрения безопасности параметризация не дает преимуществ над встроенными функциями эвакуации? – Joseph
Если вы на 100% уверены, что каждый раз избегаете значений, это должно быть то же самое, что использовать параметры для этого. –