MySQL Schutz vor SQL-Injection

[lordg2009]

Hi, bevor ich ein query mit einer Variable abschicke, tue ich doch gut daran, den Inhalt der Variablen mit der Funktion mysql_real_escape_string zu escapen um SQL-Injection zu verhindern.

Meine Frage ist nun:
Wenn ich ein statement mittel ->prepare() vorbereite und anschließend über ->bind_param Variablen hinzufüge, muss ich dann trotzdem noch mit mysql_real_escape_strin() escapen, oder ist das dann schon passiert?

 

[qyrw]

prepared statements "beinhalten" schon escaping

hätte man aber auch durch 3 sekunden googlen rausfinden können

 

[lordg2009]

Hab die phpnet Doku durchgelesen, da habe ichs nicht gelesen, sry.

Aber danke für deinen ersten Beitrag

 

[carom]

https://php.net/manual/de/mysqli.quickstart.prepared-statements.php

Bound parameters do not need to be escaped as they are never substituted into the query string directly.
[...]
Input parameter binding API: Yes, automatic input escaping

 

[Speedy.]

Wenn du dich schon um Sicherheit kümmerst, solltest du nicht auf das veraltete und unsichere mysql_connect() setzen. Nimm stattdessen PDO oder mysqli.