Я делаю CMS электронной коммерции, и все мои SQL-запросы - это функции mysql_ *. Поскольку они устарели, я хотел бы включить отчет PDO/подготовленный.Должен ли я использовать комбинацию команд mysql_ *, PDO и Prepared вместо просто PDO?
С точки зрения безопасности следует ли использовать только инструкцию PDO/подготовленные запросы для запросов, которые включают ввод пользователя? Могу ли я просто использовать функции mysql_ * для запросов, в которых нет пользовательского ввода?
Кроме того, я искал «PDO против подготовленного заявления» без каких-либо успехов, чтобы узнать, каковы различия. Есть ли вообще разница или они одно и то же?
Мне также посоветовали использовать MySQLi. Могу ли я придерживаться PDO без MySQLi?
Большое спасибо за ваши предложения. С уважением
«PDO против подготовленного заявления» не имеет смысла. Вы можете использовать подготовленные инструкции в PDO. Вы должны заменить все функции 'mysql_'. Они могут стать устаревшими с PHP в будущем (они уже должны быть). – kapa
Выберите MySQLi или PDO (я бы выбрал PDO, потому что я нахожу его метод привязки параметров более разумным) и придерживайтесь только этого. В противном случае вам необходимо поддерживать два подключения (по одному для каждого API). Преобразуйте все в PDO. –
Кроме того, это может быть полезно прочитать: http://stackoverflow.com/questions/13569/mysqli-or-pdo-what-are-the-pros-and-cons – kapa