Hace eun tiempo hablé en este blog de programación sobre blind injection y sobre la inyección de sql y en este post quiero hablar de como funcionan las sentencias preparadas en mysql que es en lo que hay que sirven para evitar la inyección de sql.
Una sentencias preparadas o consultas preparadas es una funcionalidad de la mayoría de sistemas de bases de datos que permite ejecutar las sentencias SQL de una forma más segura y econ un mejor rendimiento.
Las ventajas de las sentencias preparadas son:
- Las consultas preparadas reducen en tiempo de análisis, porque la preparación de la consulta de realiza sólo una vez.
- Los parámetros enlazados minimizan el ancho de banda del servidor, ya que sólo necesitas enviar los parámetros cada vez y no la consulta entera.
- Las consultas reparadas son muy útiles frente a inyecciones SQL, ya que los valores de los parámetros no necesitan ser ?escapados?.
En en link inyección de sql se explicacomo hacer consultas preparadas en mysql. Esto ha sido todo.