Спасет ли это от mysql инъекции?

Question

[cannabioid1337]

Спасет ли такой метод mysql запроса от инъекции?

if (isset($_GET['delete'])) {
$order_id = $_GET['delete'];
    $stmt = $mysql->prepare("DELETE FROM `tovars` WHERE order_id = ? AND telegram_id = ? ");

    $stmt->bind_param('ii', $order_id, $telegram_id);
    $stmt->execute();
    header('Location: tovars');
  }

Comments

[Ярослав Иванов]

Просто делай фильтр чтобы символы не попадали ненужные в sql запрос.

[Slava Rozhnev]

Да, спасёт

Answer 1

[Дмитрий]

так как у вас числа поможет
были бы строки хз помогло бы или нет

Comments

[cannabioid1337]

а со строками как лучше поступать?

[Дмитрий]

стандартно mysqli::real_escape_string
так как я не пользовался stmt не могу сказать экранируется ли там строка автоматически или нужно это делать вручную

[Константин]

cannabioid1337, и со строками поможет. это же PDO

[FanatPHP]

Константин, это не pdo

[FanatPHP]

Дмитрий, если вы никогда не пользовались stmt, то не следует и отвечать про него
и особенно нести бред про mysqli::real_escape_string

Answer 2

[Василий Банников]

Да.