SQL-injection и prepared statements

[Фанат]

SQL-injection и prepared statements

Известно ли что-либо о случаях SQL-инъекций при использовании APIшных prepared statements?
То есть PDO и иже с ними, а не самописных.

Или же такая проблема в этом случае отсутствует, как класс?

-~{}~ 24.01.07 19:38:

скажем так:
является ли побочным эффектом от их применения стопроцентная защита от дурака?

то есть, при всём желании невозможно будет написать код, который пропустит инъекцию?

 

[Гравицапа]

Известно ли что-либо о случаях SQL-инъекций при использовании APIшных prepared statements?

Пока вроде как не слышно

является ли побочным эффектом от их применения стопроцентная защита от дурака?

Дурак, может и вместе с плейсхолдерами в SQL запрос вставить, как он думает, безопасную переменную
http://www.php.net/pdo

The parameters to prepared statements don't need to be quoted; the driver handles it for you. If your application exclusively uses prepared statements, you can be sure that no SQL injection will occur. (However, if you're still building up other parts of the query based on untrusted input, you're still at risk).

 

[Фанат]

Ага, логично.
Что-то такое крутилось в голове, но не мог ухватить.
спасибо!

Чёрт, надо писать туториал по использованию препаред стейтментс.
А для этого надо самому их попользовать...

 

[Alexandre]

Или же такая проблема в этом случае отсутствует, как класс?

на мой взгляд, отсутствует как класс,
я вообще сторонник использования SP (Хранимых Процедур),
по этому проблема для меня отсутствует.