Possible Duplicate:
Do I have to use mysql_real_escape_string if I bind parameters?
Ben hızlı bir MySQLi güvenlik ile ilgili bir sorum var ...
Örneğin, bu kodu bir göz atın (kullanıcı girişi alır, kullanıcı adı / şifre kombinasyonu varsa görmek için veritabanına karşı kontrol eder):
$input['user'] = htmlentities($_POST['username'], ENT_QUOTES);
$input['pass'] = htmlentities($_POST['password'], ENT_QUOTES);
// query db
if ($stmt = $mysqli->prepare("SELECT * FROM members WHERE username=? AND password = ?"))
{
$stmt->bind_param("ss", $input['user'], md5($input['pass'] . $config['salt']));
$stmt->execute();
$stmt->store_result();
// check if there is a match in the database for the user/password combination
if ($stmt->num_rows > 0)
{}
}
Bu durumda, ben formu veri () htmlentitiesi kullanarak, ve bir MySQLi hazırlanmış deyimi kullanıyorum. Hala (mysql_real_escape_string kullanarak gereken mı)?