[mysqli] Zapytanie prepare

[mysqli] Zapytanie prepare

vadergb Zobacz profil	19.08.2009, 12:55:19 Post #1
Grupa: Zarejestrowani Postów: 52 Pomógł: 0 Dołączył: 10.06.2009 Ostrzeżenie: (0%)	Witam, Mam maly problem, a mianowicie: Pobieram dane uzytowknika: [PHP] pobierz, plaintext $sql_login = $this->mysqli->prepare ( "SELECT user_id,nick,country,sex FROM users WHERE user_id=? limit 1" ); $sql_login->bind_param ( "i", $id ); $sql_login->execute (); $sql_login->bind_result ( $user_id,$nick,$country,$sex ); $data = $sql_login->fetch (); [PHP] pobierz, plaintext Potem moge je odczytac za pomoca echo $user_id; Chcialbym zrobic to tak: [PHP] pobierz, plaintext $sql_login = $this->mysqli->query( "SELECT user_id,nick,country,sex FROM users WHERE user_id=$id limit 1" ); $data = $sql_login->fetch_object(); [PHP] pobierz, plaintext Tzn. Zeby pobieralo mi dane do obieku ktory potem odczytam $data->user_id; Szukalem i nie moglem znalezc metody aby bylo bezpiecznie(dodanie id za pomoca prepare - wyklucza ataka sql_injection). Wiadomo mozna przed zapytaniem robic: $id=(int)$id; czy $id=intval($id); Pytanie czy tworzac takie zapytanie powinnismy robic prepare czy normalne query? Prepare w takim wypadku powinno byc uzywane do czego? Powód edycji: [Spawnm] Przeniosłem.