mysql_real_escape_string() est-il toujours nécessaire avec les instructions préparées ?

Échapper des chaînes dans les instructions préparées : la nécessité de mysql_real_escape_string()

Lorsque vous travaillez avec des requêtes SQL, il est crucial de vous protéger contre les attaques par injection SQL en échappant aux entrées fournies par l'utilisateur. . La question se pose : la fonction mysql_real_escape_string() est-elle toujours nécessaire lors de l'utilisation d'instructions préparées ?

Dans une requête donnée :

<code class="php">$consulta = $_REQUEST["term"]."%";
$sql = $db->prepare('select location from location_job where location like ?');
$sql->bind_param('s', $consulta);
$sql->execute();
$sql->bind_result($location);

$data = array();

while ($sql->fetch()) {
    $data[] = array('label' => $location);
}</code>

Les instructions préparées améliorent la sécurité SQL en séparant les données de la requête, empêchant injections malveillantes. Cependant, cela ne rend pas mysql_real_escape_string() obsolète.

Pour garantir que la saisie de données ne modifie pas la requête, une simple modification de votre code peut la sécuriser davantage :

<code class="php">$sql->execute([$consulta]);</code>

Ceci change transmet les paramètres directement via la méthode d'exécution, en utilisant le '?' espace réservé. Cependant, n'oubliez pas de traiter les entrées de l'utilisateur via htmlspecialchars() avant de les publier pour vous défendre contre les attaques par injection HTML.

En adhérant à une utilisation appropriée des instructions préparées, vous éliminez le besoin de mysql_real_escape_string() et améliorez la sécurité de vos requêtes SQL. .

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!