Ich denke darüber nach, eine Open-Source-Anwendung für meine Zwecke auf PDO und Transaktionen mit InnoDB umzuschreiben (mysql_query und MyISAM jetzt).

Meine Frage ist: In welchen Fällen sind vorbereitete Aussagen sinnvoll?

Denn überall, wo ich lese, steht (auch in vielen Beiträgen hier), dass ich wegen der 1. Sicherheit und 2. Leistung immer und überall vorbereitete Aussagen verwenden sollte. Sogar das PHP-Handbuch empfiehlt, vorbereitete Anweisungen zu verwenden und das Escape-Ding nicht zu erwähnen.

Sie können den Sicherheitsmechanismus nicht leugnen. Aber wenn man immer wieder darüber nachdenkt, muss man die Aussage jedes Mal vorbereiten und sie dann einmal verwenden. Das ergibt keinen Sinn. Einige Variablen müssen zwar 1000-mal in eine einzelne Anweisung eingefügt werden, dies ist jedoch sinnvoll, aber offensichtlich. Dies ist jedoch nicht das, worauf ein gewöhnlicher Eshop oder ein gewöhnliches Board aufbaut.

Wie kann man das überwinden? Darf ich meine Aussagen anwendungsweit vorbereiten und konkret benennen? Kann ich mehrere verschiedene Aussagen vorbereiten und namentlich verwenden? Weil dies die einzige vernünftige Lösung ist, an die ich denke (mit Ausnahme der 1000x-Sache).

Ich habe festgestellt, dass es dieses mysql_real_escape mit dem Namen $ pdo-> quote gibt, das auch zum Zweck einer einzelnen Abfrage verwendet wird. Warum nicht nutzen? Warum sich mit der Vorbereitung beschäftigen?

Und was halten Sie von diesem hervorragenden Artikel?http://blog.ulf-wendel.de/2008/pdo_mysqlnd-prepared-statements-again/

Sind Sie mit dem Aufwand einverstanden, der durch die Erstellung der Aussagen entsteht?

Vielen Dank