Tema: diferencia entre real_escape_string y bind_param
Ver Mensaje Individual
  #2 (permalink)  
Antiguo 10/12/2012, 14:20
Avatar de gnzsoloyo
gnzsoloyo
Moderador criollo
  
Fecha de Ingreso: noviembre-2007
Ubicación: Actualmente en Buenos Aires (el enemigo ancestral)
Mensajes: 23.324
Antigüedad: 17 años, 2 meses
Puntos: 2658
Respuesta: diferencia entre real_escape_string y bind_param
Cita:
mysqli::real_escape_string
mysqli_real_escape_string
(PHP 5)
mysqli::real_escape_string -- mysqli_real_escape_string — Escapa los caracteres especiales de una cadena para usarla en una sentencia SQL, tomando en cuenta el conjunto de caracteres actual de la conexión
Cita:

mysqli_stmt::bind_param
mysqli_stmt_bind_param
(PHP 5)
mysqli_stmt::bind_param -- mysqli_stmt_bind_param — Agrega variables a una sentencia preparada como parámetros
Francamente me parece algo difícil de confundir. Son cosas completamente diferentes. No tienen relación directa.
La primera se usa para manipular cadenas de texto, mientras que la segunda se usa para sentencias preparadas.

Obviamente, la primera afecta al contenido del parámetro (valor de variables a usar), pero solamente al contenedor de la cadena a escapar. No al objeto de parámetro, porque la función de ese objeto es transferir el dato como parámetro.
Yendo al ejemplo del manual de referencia, la primera sería:
Código PHP: 
Ver original
  1. <?php
  2. $mysqli = new mysqli("localhost", "mi_usuario", "mi_contraseña", "world");
  3.  
  4. /* verificar la conexión */
  5. if (mysqli_connect_errno()) {
  6.     printf("Falló la conexión: %s\n", mysqli_connect_error());
  7.     exit();
  8. }
  9.  
  10. $mysqli->query("CREATE TEMPORARY TABLE miCiudad LIKE City");
  11.  
  12. $ciudad = "'s Hertogenbosch";
  13.  
  14. /* esta consulta fallará debido a que no escapa $ciudad */
  15. if (!$mysqli->query("INSERT into miCiudad (Name) VALUES ('$ciudad')")) {
  16.     printf("Error: %s\n", $mysqli->sqlstate);
  17. }
  18.  
  19. $ciudad = $mysqli->real_escape_string($ciudad);
  20.  
  21. /* esta consulta con $ciudad escapada funcionará */
  22. if ($mysqli->query("INSERT into miCiudad (Name) VALUES ('$ciudad')")) {
  23.     printf("%d fila insertada.\n", $mysqli->affected_rows);
  24. }
  25.  
  26. $mysqli->close();
  27. ?>
Y la segunda:
Código PHP: 
Ver original
  1. <?php
  2. $mysqli = new mysqli('localhost', 'my_user', 'my_password', 'world');
  3.  
  4. /* verificar conexión */
  5. if (mysqli_connect_errno()) {
  6.     printf("Error de conexión: %s\n", mysqli_connect_error());
  7.     exit();
  8. }
  9.  
  10. $stmt = $mysqli->prepare("INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)");
  11. $stmt->bind_param('sssd', $code, $language, $official, $percent);
  12.  
  13. $code = 'DEU';
  14. $language = 'Bavarian';
  15. $official = "F";
  16. $percent = 11.2;
  17.  
  18. /* ejecuta sentencias prepradas */
  19. $stmt->execute();
  20.  
  21. printf("%d Fila insertada.\n", $stmt->affected_rows);
  22.  
  23. /* cierra sentencia y conexión */
  24. $stmt->close();
  25.  
  26. /* Limpia la tabla CountryLanguage */
  27. $mysqli->query("DELETE FROM CountryLanguage WHERE Language='Bavarian'");
  28. printf("%d Fila borrada.\n", $mysqli->affected_rows);
  29.  
  30. /* cierra la conexión */
  31. $mysqli->close();
  32. ?>
¿Exactamente cuál es tu duda?
__________________
¿A quién le enseñan sus aciertos?, si yo aprendo de mis errores constantemente...
"El problema es la interfase silla-teclado." (Gillermo Luque)