Как правильно делать подготовленные запросы?

Question

[Княшшш]

Хотел бы узнать правильно ли сделан запрос? И я так понял это 100% защита от sql инъекций?

$email = $_POST['r_email'];
$check_email = $db->prepare("SELECT * FROM `users` WHERE `email` LIKE ?"); 
$check_email->bind_param('s', $email);
$check_email->execute();
$res_email = $check_email->get_result();
if ( $res_email->num_rows >= 1 ) {
    $errors[] = 'Данный Email занят!';
}

Answer 1

[Immortal_pony]

правильно ли сделан запрос?

Нет, для проверки по точному совпадению следует использовать оператор "=", а не "LIKE".

И я так понял это 100% защита от sql инъекций?

Нет, входные данные от пользователь всегда необходимо валидировать/очищать.

Comments

[Княшшш]

Спасибо, под валидацией вы имеете ввиду real escape string и strip tags?

[Княшшш]

Что-то подобное

$email = $db->real_escape_string(htmlspecialchars(strip_tags($_POST['r_email'])));

?

[Княшшш]

Хотя БД и без них не пропускает более 1-го запроса

[Vasiliy_M]

Амир Абдуллин,

$email = $db->real_escape_string(htmlspecialchars(strip_tags($_POST['r_email'])));

НЕТ! Никогда так не пиши!! Разберись, для чего нужна КАЖДАЯ функция в этой строке, и только потом начинай программировать. И вот - phpfaq.ru/pdo - очень ценный материал по теме

Нет, входные данные от пользователь всегда необходимо валидировать/очищать.

не надо давать не правильные советы. ничего очищать не надо - подготовленные запросы справляются со своей задачей.

[Immortal_pony]

Спасибо, под валидацией вы имеете ввиду real escape string и strip tags?

real_escape_string - нет.
htmlspecialchars - можно использовать для санитизации, но не бездумно.
strip_tags - можно использовать для санитизации, но не бездумно.
Каждый входящий парметр должен быть провалидирвован и очищен своим собственным образом. Из некотрых полей стоит вырезать тэги, а из некоторых - совсем нет.
Например, если вы ожидаете на вход только значения "email" или "sms", то вам надо убедиться, что пришло одно из двух этих значений, а не просто какая-то строка. Для этого есть много удобных библиотек. Например, Aura.Filter

ничего очищать не надо - подготовленные запросы справляются со своей задачей.

Vasiliy_M, Никто и никогда не даст вам 100% гарантии безопасности. Не порите чушь с умным видом.
Входящие от пользователя параметры надо проверять, проверять и еще раз проверять. После этого можно еще несколько раз проверить.
Да, задача sql-инъекции с подготовленными выражениями стала на порядок сложнее, но это не значит, что нет ничего невозможного и надо пренебрегать элементарными мерами безопасности.
И, да, есть много других векоторов атак, связанных с сохранением данных в базе, не являющихся именно sql-инъекциями.