Publicado em 28 de ago.

Segurança e Prevenção de SQL Injection

Revisando alguns códigos sobre segurança e prepared statements, percebi algumas diferenças e fiquei em dúvida sobre o SELECT.

 

O código abaixo do jeito que está, com $mysqli->query($sql); torna seguro o SELECT ou é necessário fazer todo o processo de prepare, bind_param, execute, bind_result?

O query() por si só já representa um prepared statement?

$sql = "SELECT id FROM membros WHERE email='$e' AND password='$pass' LIMIT 1";
$numrows = $mysqli->query($sql);

if($numrows->num_rows == 0){
 ...
}

else {

 if($numrows->num_rows > 0){
 while($result_row = $numrows->fetch_assoc()){
 $id = $result_row['id'];
 echo $id;
 }
}

Discussão (3)

Entre ou cadastre-se para participar da discussão

Entrar Criar conta

Carregando comentários...