Я слышал, как люди говорят (в отношении C # / SQL Server, но также и в отношении PHP / MySql): Не экранируйте строки вручную - используйте вместо них хранимые процедуры .
Хорошо, я могу согласиться с этим предложением, но почему? Многие говорят (в том числе и о SO) mysql_real_escape_string ()
вполне достаточно, mysql_real_escape_string ()
хорошо, mysql_real_escape_string ()
является первым способом защиты.
Почему? Есть ли случай, когда mysql_real_escape_string ()
может выйти из строя? По крайней мере, один ... Мне не нужно много :)