kostenloser Webspace werbefrei: lima-city


Prepared Statements oder...

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    n******k

    Hallo,
    was sind Vor-/Nachteile bei Benutzung von Prepered Statements (im gegensatz zu "normalen" SQL Statements)?
    Hat jemand Tipps?!
    Danke!
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Generell kannst du davon ausgehen, dass bei Prepared Statements weniger (bis gar keine) Möglichkeiten bestehen dich mit SQL-Injection dran zu kriegen. Die Variablen werden vorher automatisch als solche erkannt und können somit kein SQL mehr enthalten.

    Das heisst wenn du unprepared Abfragen machst, musst du genau dies durch vorheriges Prüfen verhindern.
    Andererseits ist es dann in komplett dynamisch generierten SQL's nicht mehr möglich bzw. sinnvoll es so zu machen.
    Letztendlich wäre die Standard herangehensweise zuerst sämtliche queries prepared zu machen, und erst wenn dies keinen Sinn macht, oder zu aufwendig wäre, diese asuzusetzen.
  4. g****e

    Prepared Statments sind Injectionssicher (wenn man sie richtig benutzt), und gleichzeitig bieten sie einige Flexiblität. Man kann die gleiche Query immer wieder ausführen, sofern man sie einmal erstellt hat, das macht das wiederverwenden einfacher.

    Funktionieren tun sie so, dass der SQL Code vorkompiliert wird, und man dann SQL Variablen verwendet (so habe ich sie verstanden), dadurch sind sie sehr sicher, und in richtiger Nutzung glaub ich auch performanter, das ist aber nur eine Vermutung.

    MySQLi und PDO bieten diese Fähigkeiten, und ich persönlich empfehle sie sehr.

    Liebe Grüße
  5. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!