Consiglio sicurezza su una query di login

[supersqualo]

Supersqualo, in merito al tuo primo post per me è comodo sempre mettere la query in una variabile per "stamparla". Una volta eseguita la query ho uno script che mi sostituisce i ? con le variabili in modo da salvarle la query in un file di log per aver traccia di tutto e capire più facilemnte dove sono eventuali errori.

Sonia

Se la stampi solamente e non la esegui come fai a capire dov'è l errore? Per trovare l errore sicuramente la esegui e poi la salvi nel file di log!

Per quanto riguarda la sicurezza:

Io userei i prepared statement (magari passando a pdo) e lascerei perdere la funzione mysqli_real_escape_string che usi adesso, usarli entrambi secondo me è superfluo. I prepared statements invece ti danno una sicurezza ottima in quanto la query viene inviata al db quando viene "preparata" e da quel momento non è modificabile. Quindi inviare dati contenenti vettori di sql injection non servirà a nulla.

Per quanto riguarda la domanda sulla select:

puoi fare sql injection anche sulle select, quindi è necessario usare i prepared statement anche li.

Hai ragione, non avevo pensato alle SELECT generate... stavo pensando solo a quelle prestabilite! Grazie