Как php/mysqli (подготовленные операторы + параметры привязки) защищают от SQL-инъекций? [дубликат] ⇐ Php

[Anonymous]

Как php/mysqli (с подготовленными операторами + параметрами привязки) защищает от SQL-инъекции?Mysqli применяет только «real_escape_string» для переменных или делает что-то еще?

Могу ли я сказать, что функция ниже совершенно бесполезна при использовании mysqli + подготовленных операторов + параметров привязки?

Код: Выделить всё

function no_injection ( $data ) {
$data = trim(strip_tags($data)); // no htm in this case.
$data = get_magic_quotes_gpc() == 0 ? addslashes($data) : $data; // useless.
$data = preg_replace("@(--|\#|;)@s", """, $data); // 

Подробнее здесь: [url]https://stackoverflow.com/questions/7615217/how-php-mysqli-prepared-statements-bind-params-protect-against-sql-injecti[/url]