Instruction préparée avec PHP et MySQL sans utiliser mysqli

Question

Je voudrais savoir s'il est possible de créer une instruction préparée avec PHP et MySQL en utilisant la bibliothèque mysql plutôt que la bibliothèque mysqli.

Je ne trouve rien sur la documentation PHP.

Merci.

Answer 1

La documentation PHP quite clearly states (à la fin de cette page) que le mysql extension ne fait pas support préparé des déclarations. Une alternative à mysqli qui prend en charge les instructions préparées serait PDO_MYSQL.

Answer 2

qu'en est-il PDO?

http://php.net/manual/en/book.pdo.php

Answer 3

Pourquoi voulez-vous utiliser une instruction préparée?

Si l'injection SQL est votre préoccupation, vous pouvez toujours rouler votre propre:

$fname = "Robert'); DROP TABLE students;--"; 
$lname = "Smith"; 

$pureSql = "SELECT FROM `users` WHERE `fname` = '$fname' AND `lname` = '$lname'"; 
$prepSql = "SELECT FROM `users` WHERE `fname` = :userfname AND `lname` = :userlname"; 

echo $pureSql, "\n"; 
echo prepare($prepSql, array('userfname' => $fname, 'userlname' => $lname)), "\n"; 

function prepare($sql, $params=array()){ 

    if(strlen($sql) < 2 || count($params) < 1){ 
     return $sql; 
    } 

    preg_match_all('/\:[a-zA-Z0-9]+/', $sql, $matches); 

    $safeSql = $sql; 
    foreach($matches[0] as $arg){ 
     if(array_key_exists(ltrim($arg, ':'), $params)){ 
      $safeSql = str_replace($arg, "'" . mysql_real_escape_string($params[ltrim($arg, ':')]) . "'", $safeSql); 
     } 
    } 

    return $safeSql; 

} //prepare() 

sortie est:

SELECT DE users OU fname = 'Robert'); DROP TABLE étudiants; - 'AND lname =' Smith ' SELECT FROM users O WH fname =' Robert \ '); DROP TABLE étudiants; - » ET lname = 'Smith'

EDIT: Vous avez oublié le lien xkcd http://xkcd.com/327/