Не, не е нужно сами да избягвате стойността (т.е. не, не е нужно да извиквате mysqli_real_escape_string
) , когато използвате подготвени оператори:DB машината ще направи това сама.
(Всъщност, ако се обаждате на mysql_real_escape_string
и използвайки свързани параметри, вашите низове ще бъдат екранирани два пъти - което не би било чудесно:в крайна сметка ще се окажете с екраниращи символи навсякъде...)
Като странична бележка:вашите стойности се предават като цели числа (както е посочено от 'ii'
) , така че не би трябвало да се обаждате на mysql_real_escape_string
, дори и да не сте използвали подготвени оператори:както показва името й, тази функция се използва за избягване на... низове.
За цели числа обикновено използвам intval
за да се уверя, че данните, които инжектирам в моите SQL заявки, наистина са цели числа.
(Но тъй като използвате подготвени заявки, отново не е нужно да правите този вид бягство)