5. Dezember 2012 08:49

Re: Vielleicht, vielleicht, vielleicht...

Joachim Durchholz schrieb am 4. Dezember 2012 15:54

> Cyriis schrieb am 4. Dezember 2012 14:28

> > Vielleicht haben die Leute auch keine Lust ihn zu nutzen, weil es
> > umständlicher ist.

> Mit Prepared Statements ist es sogar einfacher.

> Ohne:
>   query("select * from table where field = '" . quote (param) . '"')
> Mit:
>   query("select * from table where field = :x", "x", param)

> Und meistens steht da in PHP ja nicht quote(), sondern
> mysql_real_escape_string(), und dann wird's endgültig unfein.

Einziges Problem ist, dass dies mit einem echten Prepare-Statement so
relativ wenig zutun hat, da query() der Expressweg ist.

Wenn ich nun Variablen mit gewissen Typen binden muss z.B. Null oder
Blobs, dann komme ich damit nicht einmal bis zur nächsten Ecke. Dann
greift man wohl zum echten prepare() und fängt es auch an anstrengend
zu werden.

Welche bind*-Methode nehme ich, wie binde ich Parameter vom Typ her,
etc.

Da steckt eine viel größere API hinter. Nutze ich hingegen mysql bzw.
mysqli dann ist alles viel einfacher, da ich solch eine API gar nicht
bedienen muss.

Anzeige