mysqli_escape_real_string не спасет тебя от XSS. также запишется html код.

хорошо, пускай переменные будут пропущены через strip_tags, htmlentities e.t.c
Если эти ф-ии справляются с XSS, тогда в чем смысл mysqli_stmt_bind_param?

Как будто у хакеров только XSS на вооружении

Данная функция привязывает переменную к параметрам подготовленного запроса.
При этом вы указываете тип переменной, и ее значение будет соответствующим образом экранировано в запросе, что исключит возможность атаки типа "SQL-injection".
(Добавление)
Кроме того, подготовленные запросы выгодно использовать при выполнении одного и того же запроса несколько раз с разными входными данными. Один раз привязали переменную потом в цикле меняете ее и выполняете запросы. (ну это так, грубый пример).

эээ...не совсем понял? а что, переменная может и не привязаться как-то?

и второй вопрос...если я использовал, например для логина функцию htmlentities, то уже нет смысла в догонку использовать mysqli_escape_real_string? ведь они обе экранируют кавычки и тогда в mysqli_escape_real_string нет надобности?

Да, бывают переменные сами по себе, свои собственные (с)

Даю вам ссылку на официальный мануал по php - http://ru2.php.net/manual/ru/index.php
Там есть ответы на ваши вопросы. В том числе, какие функции что экранируют

Ну никада бы там не догадался искать ответы

Если человек спрашивает на форуме, значит ему непонятно разяснение офиц.источников

В том, что mysql никогда не перепутает, где запрос, а где данные. Ни для каких входных данных не перепутает.
Потому что данные в запрос не подставляются вообще, они и на уровне пакетов данных идут отдельно от запроса.

При чём тут XSS и прочие дыры, не имеющие никакого отношения к СУБД - я не понимаю.
Обратиться к базе, используя внешние данные - используйте препарированные запросы и никогда не конкатенируйте данные и запрос.
Надо вывести в HTML - используйте htmlspecialchars
Надо вывести в JS - json_encode
Надо вывести в CSV - используйте подобающую обработку данных, fputcsv.
Надо вывести ещё черти-куда - используйте то, что для этого черти-куда предназначено.

Более ли менее разобрался

но после обработки mysqli_escape_real_string, в БД заносится слэш O\'ireally.
Сразу говорю, у меня версия 5.4, поэтому магические кавычки как бы не причем

htmlentities() поможет в этой беде.

Т.е. вы используете препарированный запрос и escape? Зачем?

а при чем тут это?
ну будет у меня в БД вместо слэша O&#092ireally



эээ..ну да? а что препарированный запрос разве ещё и экранирует?

Я заношу в БД, способом который предлагает курс Специалиста(думаю все его смотрели или хотя бы слышали), а именно, создается функция для обработки переменных post:

function clear_str($var) {
global $connection;
return mysqli_real_escape_string($connection, strip_tags(trim($var)));
}

а потом, после данной обработки выполняется:

$query = "INSERT INTO users (name, username, password, email) VALUES(?, ?, ?, ?)";
if(!$stmt = mysqli_prepare($connection, $query))
echo 'error prepare';
mysqli_stmt_bind_param($stmt, 'ssss', $name, $login, $pass, $email);
mysqli_stmt_execute($stmt);
mysqli_stmt_close($stmt);

Только он(преподаватель) при занесении в БД не использует нигде в названиях кавычки, поэтому и не спалил видимо эту ошибку

Экранирование нужно, что бы парсер строки всего SQL запроса в базе данных определил - где строчка данных внутри строки SQL заканчивается.
В случае биндинга это и так понятно, ибо строчка данных передается отдельно, а значит никакое экранирование не нужно.

Вы понимаете, для чего экранирование вообще нужно?

Так вот, препарированный запрос данные в текст запроса не подставляет вообще. Они даже бинарно на СУБД идут отдельно. Что передали, именно то СУБД и получила, без риска заблудиться, что тут было текстом запроса, а что - данными.

MiksIr, Мелкий -- спасибо за разъяснение, хоть и туманно, но более ли менее понятно...



вроде понимаю

1) для того, чтобы кавычка была действительно символом кавычки, а не хтмл сущностью
2) для выполнения роли SQL-инъекции

==========

Убрал из ф-ии mysqli_real_escape_string, оставив только return strip_tags(trim($var)); и все нормально заработало.

Вытекает след.вопрос: если препарированный запрос так удобен и безопасен, то почему не откажутся от mysqli_real_escape_string?