06/12/2011, 22:49
|
| | Fecha de Ingreso: agosto-2011
Mensajes: 161
Antigüedad: 13 años, 4 meses Puntos: 7 | |
mysqli preparestatement htmlentities Hola como están campeones?.
Bueno estoy desarrollando una aplicación con mysqli y estoy en una gran duda.
mysqli como sabemos, nos ofrece preparar consultas. (preparestatement),
y me vi en el caso de pedir sus humildes opiniones con respecto a lo sig :
en una parte de la aplicación el usuario puede guardar codigo, y para evitar sql injection estoy transformando lo que el usuario escribe en entidades.(Ya que escribira puro codigo) con htmlentities().
Por lo cual toda la cadena quedara en entidades... ¿ Sera necesario preparar la consulta ?.
Como sabemos, preparar la consulta , atar las variables ( bind ), y ejecutarla
lleva un par de lineas mas que ejecutar un query simple.
Vale la pena hacerlo para ganar rendimiento en el sistema ? (ya que se supone que las consultas preparadas se demoran menos en la ejecución.)
Alguien me podria dar su opinion :) ? Graaaaaaaaaaaacias ! |