Dann musst du die mysqli-Funktionen nutzen:

Btw. Auch als Purist solltest du mal einen Blick auf MDB2 oder PDO werfen.

SQL Injection ist halt was tolles

Na ja, wenn jemand soweit kommt, dass er so was machen könnte, habe ich ganz andere Probleme.

Das (?) wird dann durch den zweiten Parameter von bind_param ersetzt?

Passiert schnell, wenn man hier GET oder POST-Werte einsetzt.

Dem Parameter wird der Wert zugewiesen. (In diesem Fall hat dieser keinen Namen)

Das verstehe ich jetzt nicht.

Die Parameter sind eine Features des DBMS.

Beispiel Insert von mehreren Datensätzen

1. ohne Parameter:

Es wird zuerst die 1. Abfrage an das DBMS gesendet, diese wird geparst und eine Abfargeplan gebildet.
Entsprechend für jeden weiteren Insert.

2. mit Parameter:

insert into person ( name, vorname) values ( :name, :vorname); Es wird die Abfrage mit Platzhalter und nicht mit konkreten Werten an das DBMS gesendet. Dieses parst sie, bildet einen Plan und erzeugt die Parameter.

Beim eigentlichen Insert werden dann nur die Werte für die Parameter an das DBMS gesendet und die Abfrage mit diesen werten ausgeführt.
Das ist deutlich schneller, da die Abfrage nur einmal geparst und der Plan nur einmal ermittlet werden muss.

Ausserdem wird so wie erwähnt das Risiko von sql injection verringert.

Was müsste jetzt bei den Fragezeichen stehen?

Hi,

deine konkreten Werte - also sowas wie $_GET['vorname'].


LG, Frederic

$stmt = $mysqli->prepare("insert into person ( name, vorname) values ( ?, ?);");
$stmt->bind_param("ss", 'Puff', 'Michael');
http://php.net/manual/de/mysqli-stmt.bind-param.php

Ah, OK. Jetzt habe ich es verstanden. Das würde aber einen ziemlichen Refactoring Aufwand bedeuten. Ich glaube nicht, dass ich das in naher Zukunft machen werden. Höchstens wenn es mich packt, dann gibt es aber einen kompletten Rewrite.