Je hebt een klacht over de onderstaande posting:
Door S-q.: @Anoniem 21.27 Jammer dat je anonem reageert. Ik krijg je bericht nu pas om 9.51 uur binnen. Maar je opmerking valt me op; "Een programmeer taal met een fatsoenlijke "prepared statement"" Noem voor mijn beeldvorming een programmeer taal met een fatsoenlijke "prepared statement"? En beschrijf wat uitgebreider waar het daarin om gaat en hoe dat gerealiseerd wordt? Ik gebruik dit zelf nog wel eens in Perl (DBI module) maar ik begrijp dat het ook in PHP kan (mysqli_xxx). Het essentiele punt is dit: je bakt de SQL query niet dynamisch aan elkaar uit losse stringvariabelen, dus niet: $query = "SELECT user from users WHERE username = '".$username."'"; mysql_query($query,$db); In plaats daarvan gebruik je zo iets: $sth = $dbh->prepare("SELECT user from users WHERE username = ?"); $rc = $sth->execute($username); De parameter van execute wordt in het SQL statement ingevoerd op de plaats van de ?. Maar niet door die erin te plakken, de SQL engine weet echt waar die mee bezig is en ...
Beschrijf je klacht (Optioneel):