Предотвращение SQL-инъекций и захватов ID

Question

Я думал, что мой код предотвращает инъекции SQL, но, глядя в Интернет, я понял, что ошибаюсь. Я хватал удостоверение личности с помощью:

$id = mysqli_real_escape_string($_GET['id']); 

я узнал в интернете, что с помощью реального побега строки MySQL фактически не мешает мне SQL инъекции. Однако, даже когда я пытаюсь использовать его на моем сервере, это дает мне эту ошибку:

expects exactly 2 parameters, 1 given - Line: 4 

Я не знаю, почему я был в состоянии использовать его в среде тестирования (WAMP), но не здесь , Мне было интересно, каков правильный способ захвата идентификаторов и предотвращения SQL-инъекций?

Answer 1

Правильный способ заключается в использовании prepared statements. Что касается вашего кода, вы используете mysqli_real_escape_string неправильным способом. Вам также необходимо включить соединение с mysqli.

$id = mysqli_real_escape_string($mysqli, $_GET['id']); 

При использовании подготовленных заявлений в этом нет необходимости.

Answer 2

Я бы просто использовал подготовленный оператор и привязал значение. Как этот пример.

$stmt = $mysqli->prepare("DELETE FROM tbl_users WHERE name = ?"); 
$stmt->bind_param("s", $name); 
$stmt->execute(); 
$stmt->close();