Mysqli - problème avec mysqli_real_escape_string

Question

J'ai ce code, et fonctionne parfaitement, mais je veux faire une simple modification

<?php session_start(); 
require 'includes/f_banco1.php'; 
require '../PasswordHash.php'; 


function checkBd($sql, $db, $user, $codePass) { 
    $user = $_GET['userid']; //here 
    $codePass = $_GET['code'];//here 

    if(is_numeric($user)) { 

     ($sql = $db->prepare("select userid, code from password_reset where userid=? and code=?")); 

     $sql->bind_param('ss', $user, $codePass); 

     $sql->execute(); 

     $sql->bind_result($user, $codePass); 

     if ($sql->fetch()) { 
      $_SESSION['u_name']= sha1($user); 
      header("location: updatePass.php"); 
      return true; 
     } 
     else 
     echo "Não existe na BD"; 
     return false; 

    } 
    else 
    echo "Erro"; 

} 

checkBd ($sql, $db, $user, $codePass); 

?> 

je veux changer ces lignes

$user = $_GET['userid']; //here 
$codePass = $_GET['code'];//here 

à

$user = mysqli_real_escape_string($db, $_GET['userid']); 
$codePass = mysqli_real_escape_string($db, $_GET['code']); 

mais avec ce changement le code simple arrête de fonctionner, un écho de $ utilisateur ne montre rien

une idée?

merci

Answer 1

Vous n'avez pas besoin de faire cela. Vous utilisez des instructions préparées qui échappent automatiquement aux variables.

Answer 2

Si vous préparez votre relevé, vous n'avez pas besoin d'échapper votre chaîne.

Note: [? Are PHP MySQLi préparé des requêtes avec des paramètres liés sécurisées] Votre connexion de base de données doit être ouverte à utiliser mysqli_real_escape_string()