желчи бы не было, если бы это был какой-то сложный, дискуссионный вопрос. Но проблема защиты от инъекций давно закрыта. В теории. А на практике - кругом одни незнайки, которые и сами ничего не понимают и - что хуже всего - другим советы дают. Ты бы не о желчи печалился, а о собственной неграмотности лучше.
Еще раз, по буквам. "экранирование вручную" делали в прошлом веке. Это не сработало. Если ты не в состоянии объяснить, как обеспечить защиту от инъекций, то не надо на эту тему и вякать.
Назар Мокринский: проблема в том, что я этот пример писал уже 100500 раз. Но самоуверенные неграмотные дети все равно не хотят ничего знать, кроме тупого видеокурса , который посмотрели в младенчечестве. При том что пример, который ты просишь, примитивный и очевидный: $id=mysqli_real_escape_string("5;DROP TABLE users"); $sql = "SELECT * FROM t WHERE id=$id"; Проблема, мальчик, не в примерах. проблема в тебе. Потому что даже получив пример, ты будешь вопить и юлить, рассказывая, что совсем не то имел в виду. Хотя это тот самый пример, который ты просил, и который на 100% подтверждает мои слова о том, что "mysqli_real_escape_string() не предназначена для защиты от инъекций, и не должна никогда использоваться для этих целей". Проблема в том, что ты - классический ламер, из палаты мер и весов: реальных знаний у тебя на копейку, но при этом ты считаешь, что все уже знаешь круче всех. Как бы вас всех отсюда повытравить, калек ментальных...
Назар Мокринский: ну сколько раз повторять, что mysqli_real_escape_string() не предназначена для защиты от инъекций, и не должна никогда использоваться для этих целей?
входящие данные не надо экранировать. это идиотизм, от которого наконец-то отказались еще в версии 5.3. Ценность остальных заявлений примерно такая же.
да какая разница что тебе нравится, если ты в ответе пишешь фигню? На самом деле не надо врать: каждый пишет так, как привык. И если ты пишешь вот это вот всё, а 2 строчки кода PDO кажутся тебе "адом", то значит плейсхолдеры тебе именно что "нравятся". издалека. В теории. А на практике ты пишешь говнокод, потому что плейсхолдеры так и на смог освоить
Я понимаю, что говнокодеру, который учился по туториалам из прошлого века, очень трудно освоить правильные приемы работы. Но ты все-таки напряги остатки интеллекта и почувствуй разницу между "обработать" и "передать через плейсхолдеры". Плейсхолдер - это такой знак вопроса, можешь посмотреть у меня в коде.
Это не рабочий код, а кошмар говнокодера. Не надо думать, что приставив буковку i к названию функции, ты сразу стал программистом. По своей сути твой код остался прежним - все тем же адом из прошлого века.
