SQL Injection ochrana

Zdravim. Cital som na roznych forach o sql injection.A casto som sa stretaval s nazormi, ze uplne staci presetrit vsetky premenne,ktore vkladam do DB cez mysql_real_escape_string.Co nato poviete?Staci to?

Stači ale ak začinaš tak by som sa učil už skôr PDO

Vďaka.A ano beriem na vedomie.No najprv chcem mysqli a tak postupne.

Nestaci. Kod to znacne zneprehladnuje a nemas ako vyuzit napriklad cachovanie preparovanych dotazov. A kedze sa este len ucis programovat, nedokazes posudit, ci si nejake vlastnorucne escapovanie spravil dostatocne dobre - preto je vhodne nechat DB server, aby to spravil sam a lepsie.
PDO ma oproti MySQLi len vyhody. Mal by si sa ucit pracovat s tym najlepsim, co mas k dispozicii, aby si hned neziskal milion zlozvykov.

Tiež si myslím, že je nezmysel, aby sa človek učil jednu vec, keď existuje lepšia alternatíva.. Hádam práve preto, že sa ešte len učíš, by si sa to mal naučiť hneď poriadne.

A neviete o nejake dobrej stranke, kde by som sa mohol to pdo naucit? nejako rozumne vysvetlene a tak..okrem php.net tam som uz nieco zazrel

http://code.tutsplus.com/tutorials/why- ... -net-12059
http://wiki.hashphp.org/PDO_Tutorial_fo ... Developers

... proste len daj do googla "php pdo" a študuj, zdrojov je dosť

ano uz som narazil na paru stranok a co to pocital, ked to takto chapem,, ked pouzijem prepared statements,, a potom ich vykonam,, uz toto je samo o sebe ochrana proti sql injekcii? Ze tymto zabezpecim, ze datab. server uz rozpozna co je dotaz a co pouzivatelsky vstup?

Databázový server nerozpozná nič, v tom je ten problém.. Prečítaj si to ešte raz

No neviem nakolko je tato stranka doveryhodna ale tu pise ze je to tak ako som povedal.Ze databazovy server vdaka prepared statements rozpozna dotaz a samotny vstup. http://www.zajtra.sk/programovanie/901/ ... ements-wtf

Ano, na tej stranke je to vysvetlene rozumne.

Presne tak. Prvy krok pri ochrane pred injection ma byt prepared statement. Rucne skladanie dotazov a doplnenie premennych je zlo