Gast+2008-03-25 19:46:31--

Code (perl): (dl )

1
2

$dbh->do("INSERT INTO foo VALUES (?, ?)", undef,
           $number, $name);

kann ich das ganze auch ohne fragezeichen machen das ich bei Values die Felder fix definiere und danach halt der wert kommt wie bei php&mysql? oder muss man das so machen?

das geht natürlich, und wenn du die werte manuell reinschreibst, ist das auch ok, aber wenn du
variablen hast, solltest du das auf keinen fall tun. denn die platzhalter-schreibweise
nimmt dir das escapen ab und schützt dich somit ganz automatisch vor sql-injections.
in php wird das oft nicht beachtet, leider. dort ruft man, wenns hoch kommt, irgendwelche
quote-funktionen manuell auf. das mit den platzhaltern ist doch dagegen viel einfacher.