[mysqli] Zapytanie prepare Opcje

[vadergb]

Witam,


Mam maly problem, a mianowicie:

Pobieram dane uzytowknika:

[PHP] pobierz, plaintext 
	$sql_login = $this->mysqli->prepare ( "SELECT user_id,nick,country,sex FROM users WHERE user_id=? limit 1" );
 
			$sql_login->bind_param ( "i", $id );
			$sql_login->execute ();
			$sql_login->bind_result ( $user_id,$nick,$country,$sex );
			$data = $sql_login->fetch ();
[PHP] pobierz, plaintext 

Potem moge je odczytac za pomoca echo $user_id;

Chcialbym zrobic to tak:

[PHP] pobierz, plaintext 
	$sql_login = $this->mysqli->query( "SELECT user_id,nick,country,sex FROM users WHERE user_id=$id limit 1" );
 
			$data = $sql_login->fetch_object();
[PHP] pobierz, plaintext 

Tzn. Zeby pobieralo mi dane do obieku ktory potem odczytam $data->user_id;

Szukalem i nie moglem znalezc metody aby bylo bezpiecznie(dodanie id za pomoca prepare - wyklucza ataka sql_injection).

Wiadomo mozna przed zapytaniem robic:
$id=(int)$id;
czy
$id=intval($id);


Pytanie czy tworzac takie zapytanie powinnismy robic prepare czy normalne query?

Prepare w takim wypadku powinno byc uzywane do czego?

Powód edycji: [Spawnm] Przeniosłem.

[Fifi209]

Wystarczy rzutować na int jak sam pokazałeś.
Spełni to Twoje oczekiwania i będzie bezpieczne.

A prepare do stringów bardziej.

Ten post edytował fifi209 19.08.2009, 12:57:18

[vadergb]

Wystarczy rzutować na int jak sam pokazałeś.
Spełni to Twoje oczekiwania i będzie bezpieczne.

A prepare do stringów bardziej.

hmm czyli prepare stosowac do updatow w bazie i insertow?

+ ew. w opcji szukania(np szukamy po nicku)?

a co w przypadku jak np mamy http://domena.pl/Jan_Kowalski

Jan_kowalski to string i robi on za alias uzytkownika.

Wtedy stosowac prepare czy robic to sa pomoca mysql_real_escape_string?


Jeszcze jedno sprawa mnie meczy:

W przypadku odczytywania loginu i hasla z bazy przy logowaniu uzywac prepare czy nie?