Ver Mensaje Individual
  #1 (permalink)  
Antiguo 06/12/2011, 22:49
ccsaiKo
 
Fecha de Ingreso: agosto-2011
Mensajes: 161
Antigüedad: 13 años, 4 meses
Puntos: 7
mysqli preparestatement htmlentities

Hola como están campeones?.

Bueno estoy desarrollando una aplicación con mysqli y estoy en una gran duda.

mysqli como sabemos, nos ofrece preparar consultas. (preparestatement),
y me vi en el caso de pedir sus humildes opiniones con respecto a lo sig :

en una parte de la aplicación el usuario puede guardar codigo, y para evitar sql injection estoy transformando lo que el usuario escribe en entidades.(Ya que escribira puro codigo) con htmlentities().

Por lo cual toda la cadena quedara en entidades... ¿ Sera necesario preparar la consulta ?.

Como sabemos, preparar la consulta , atar las variables ( bind ), y ejecutarla
lleva un par de lineas mas que ejecutar un query simple.

Vale la pena hacerlo para ganar rendimiento en el sistema ? (ya que se supone que las consultas preparadas se demoran menos en la ejecución.)

Alguien me podria dar su opinion :) ? Graaaaaaaaaaaacias !