In realtà è un modo per contrassegnare un elemento stringa come "non sicuro" e si chiama istruzioni preparate . Una dichiarazione preparata è un pezzo di codice SQL che è hardcoded nell'origine dell'applicazione, cioè una "stringa sicura", ma con alcuni segnaposto per i parametri: ogni segnaposto significa davvero: "quando si tratta di in esecuzione questa istruzione SQL, usa la stringa argomento, ma fai attenzione che l'argomento possa essere "non sicuro", cioè potrebbe contenere qualcosa in un modo potenzialmente ostile ".
Questo è esattamente il meccanismo che stai cercando: un modo per contrassegnare parti di un'istruzione SQL come "non sicuro" e quindi garantire alcuni "resafing" extra automatici.
Alcune persone usano metodi manuali non automatici per "rendere sicure le stringhe", con funzioni come mysql_really_really_espace_string_this_time_I_said_please()
. Questi metodi manuali sono profondamente insoddisfacenti, inefficienti e occasionalmente falliscono perché si basano su alcuni metodi forniti da PHP per essere pienamente a conoscenza di tutti i dettagli della sintassi delle istruzioni accettate da MySQL, un pacchetto software distinto , potenzialmente aggiornato separatamente e scritto da sviluppatori distinti che non necessariamente si sincronizzano con gli sviluppatori PHP. Con istruzioni preparate, il "meccanismo di fuga" (o meccanismo equivalente) si verifica all'interno di MySQL stesso, e possiamo presumere che MySQL, almeno, è d'accordo con se stesso, evitando questi problemi.