Как защитится от sql инъекции?

Question

[rinaz22]

Всем привет! Использую mysqli. Есть форма где пользователь вводит информацию. Как защититься, чтобы через эту форму не попала инъекция? Некоторые пишут экранировать запрос и потом добавить в БД. Поможет ли это?

Comments

[Губернатор]

С появлением хранимок, слово "инъекция" - перестало быть угрозой.

Answer 1

[kr_ilya]

Обязательно использовать PHP PDO (Материал 1, материал 2)
Ну и экранировать конечно же.
UPD:
Либо вообще избавляться от ненужных символов, в случаях когда они не нужны. (Например, когда в базу записывается только целое число, использовать intval());

Comments

[rinaz22]

Я использую mysqli, а не pdo

[kr_ilya]

rinaz22, упс...

[Ярослав Иванов]

rinaz22 и правильно не слушай советы. Я вообще mysql использую. Правда его даже ide зачеркивают но я то умнее их.

[Fafhrd]

в поиск по prepared statements

[metajiji]

Fafhrd, без них вообще нет смысла передавать данные от пользователей в запросы :) однозначно плюс!

Answer 2

[Zubekas]

Именно в mysql проще всего сделать инъекцию, не слушайте этих "умных", которые его предлагают. Mysqli как и PDO поддерживают prepare запросы, которые фильтруют входные параметры. Приведение к типу (intval) - хорошая практика, а так есть функция mysqli_escape_string которая экранирует запрос

Comments

[rinaz22]

А простое экранирование поможет от всех sql инъекции?