0

делаю учебный сайт

есть страница регистрации с формами ввода (имя, фамилия, mail, пароль)

на клиенте с помощью javascript проверяю корректность ввода

потом ещё раз перед отправкой в БД делаю проверку на корректность с помощью php

если введены символы ожидаемые от пользователя выполняю запросы в БД

например, вот, проверяю нет ли в БД пользователя с таким же email-ом:

$mail = mysql_escape_string($mail);
$sql = mysqli_prepare($db, "SELECT * FROM users WHERE mail = ?");
mysqli_stmt_bind_param($sql, 's', $mail);
mysqli_stmt_execute($sql);

Где то прочитал, что не обязательно делать экранирование:

$mail = mysql_escape_string($mail);

Если сделал привязку параметров:

$sql = mysqli_prepare($db, "SELECT * FROM users WHERE mail = ?");
mysqli_stmt_bind_param($sql, 's', $mail);

Верно ли это?

Нет ли ещё какой нибудь возможности SQL-инъекции?

Darwin
  • 59
  • Где то прочитал -- не, так дело не пойдёт. Приложите конкретную ссылку. Если это авторитетный источник, а там фигня, надо срочно дёргать его авторов это исправить. Если неавторитетный, то не надо на них опираться, если не осознаёте сами, как это работает. .-. –  Apr 13 '17 at 12:02
  • это был какой то форум, я, вряд ли, найду ссылку :) значит надо экранировать в любом случае? – Darwin Apr 13 '17 at 12:04
  • @Darwin вовсе нет. Просто такие утверждения надо интерпретировать очень осторожно. Поэтому контекст и исходное утверждение были бы полезны. –  Apr 13 '17 at 12:06

0 Answers0