Безопасность MySQL в CodeIgniter

Question

Я новичок в CodeIgniter, но не новичок в PHP, и мне было интересно, что мне нужно сделать в CodeIgniter, чтобы сделать все мои запросы безопасными.

Обычно я просто использую mysql_real_escape_string() для каждой переменной, используемой в запросе (стандартный PHP), но я смотрел учебник по CodeIgniter, где автор не экранировал переменную и просто сделал стандартную вставку, как показано ниже:

$this->db->query("SELECT * FROM Users WHERE Username = ?", array($username));

Какой путь правильный?

Answer 1

Ваш пример привязка параметра

Как вы можете прочитать в последнем абзаце вышеупомянутой ссылки, привязка автоматически экранирует значение, переданное в запрос:

Вторым преимуществом использования связок является то, что значения автоматически экранируется, производя более безопасные запросы. Вам не нужно не забудьте вручную экранировать данные; двигатель делает это автоматически для вы.