Должен ли я использовать mysqli_real_escape_string
или использовать подготовленные инструкции?
Я видел учебник, объясняющий подготовленные заявления, но я видел, как они делают то же самое, что и mysqli_real_escape_string
но он использует больше строк
Существуют ли какие-либо преимущества для подготовленных заявлений? Как вы думаете, лучший метод для использования?
Только подготовленные заявления . Потому что никуда не ускользает одно и то же. Фактически, побег абсолютно не имеет никакого отношения к любым инъекциям и не должен использоваться для защиты.
Хотя подготовленные заявления предлагают 100% безопасность, когда это применимо.
Используйте prepared statements
потому что после использования вам не нужно использовать mysqli_real_escape_string
. prepared statements
делают это по умолчанию.
Очень легко забыть (может быть, не для вас, а для других разработчиков, с которыми вы работаете), а очень сложно использовать подготовленные инструкции неправильно, чтобы вызвать уязвимость. Так подготовленные заявления.