Защищают ли кавычки от sql-инъекции?

Question

Скажите пожалуйста, защищает ли кавычки от sql-инъекции. У меня есть такие коды

mysqli_query($link, "SELECT `kredits` FROM `users` WHERE `mail` = '$mail' AND `password` = '$pass'");

mysqli_query($link, "INSERT INTO  `vivod` (`summa`, `email`) VALUES ('$zsum', '$summal')");

Защищены ли они от sql-инъекции? И если нет то mysqli_real_escape_string может защищать?

нет, не защищают. используйте подготавливаемые выражения и привязку переменных http://php.net/manual/ru/mysqli-stmt.bind-param.php и забудьте кавычки и escape как страшный сон — Mike, Apr 27 '18 at 08:34
Возможный дубликат вопроса: Каким образом избежать SQL-инъекций в PHP? — Visman, Apr 27 '18 at 09:31

Walking Negative · Answer 1 · 2018-04-27T12:16:29.830

2

Нет, не защищают. Попробуй так:

$db = new mysqli(DB_HOST, DB_USER, DB_PASSWORD, DB_NAME); //тут свои данные подставь
$stmt = $this->db->prepare("SELECT `kredits` FROM `users` WHERE `mail` = ? AND `password` = ?");
$stmt->bind_param('ss', $email, $password); //s-string
$stmt->execute();

Ну и вот документация

edited Apr 27 '18 at 12:16

answered Apr 27 '18 at 12:10

Walking Negative

355
2
18

Защищают ли кавычки от sql-инъекции?

1 Answers1