RootForum Community

Kann man mysql_real_escap_string so lose verwenden:

$user=$_POST["user"]
$user=mysql_real_escape_string($user);
$pw=$_POST["pw"]
$pw=mysql_real_escape_string($pw);

mysql_query("INSERT INTO kunde set user='$user',pw='$pw' ")
(ist das so sicher?)

oder geht mysql_real_escape_string nur in einer Querry wie
$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
mysql_real_escape_string($user),
mysql_real_escape_string($password));

Die erste Version kann man verwenden, wobei eine entsprechende Function oder Class deutlich flexibler wäre.

Ich frage mich schon seit geraumer Zeit, weshalb sich Leute immer noch selbst SQL-Queries zusammenbauen, statt einfach Prepared Statements zu verwenden…