Czy dynamiczne zapytania mysql z kodem ucieczki sql są tak samo bezpieczne, jak przygotowane instrukcje?

Tak, ale kwalifikowane tak.

Musisz poprawnie uciec w 100% z danych wejściowych. I musisz odpowiednio ustawić zestawy znaków (jeśli używasz C API, musisz wywołać mysql_set_character_set() zamiast SET NAMES ). Jeśli przegapisz jedną drobną rzecz, jesteś bezbronny. Więc to jest tak, o ile robisz wszystko dobrze...

I dlatego wiele osób będzie polecać przygotowane zapytania. Nie dlatego, że są bezpieczniejsze. Ale ponieważ są bardziej wyrozumiali...

SELECT zapytanie zwraca 1 wiersz z każdej grupy

Jak usunąć duplikaty w tabeli MySQL?

Database
Mysql
Oracle
Sqlserver
PostgreSQL
Access
SQLite
MariaDB

Wyszukiwanie pełnotekstowe z InnoDB
Jak ograniczyć dostęp do portu MySQL
15 przydatnych wskazówek dotyczących dostrajania i optymalizacji wydajności MySQL/MariaDB
Niedozwolona mieszanka zestawień (utf8_unicode_ci,IMPLICIT) i (utf8_general_ci,IMPLICIT) dla operacji '='
Polecenie wstawiania MySQL a składnia zapytań T-SQL z przykładami

Radzenie sobie z długimi zapytaniami MySQL

Jak zaktualizować połączone tabele w programie Access 2016 po przeniesieniu bazy danych zaplecza do nowej lokalizacji

Jak podzielić transakcje tylko do odczytu i do odczytu i zapisu za pomocą JPA i Hibernate

Wyspy T-SQL Wyzwanie