Cita:
Iniciado por maycolalvarez 
bueno,
bien utilizado PDO te brinda mecanizamos anti SQL Inyection,
pero tampoco te evita ejecutar una cadena SQL construida a mano, así que depende del programador usar las
buenas practicas impuestas por PDO
MySQLi me imagino (nunca la he usado) debe tener algo similar, pero la relativa ventaja frente a PDO es que es más optima con MySQL,
obviamente porque sólo se puede usar y fúe diseñada para MySQL.
PDO en cambio puede usar un amplio rango de SDBMS, por el cual es la que recomiendo de inmediato, si estás muy seguro de que no piensas migrar de MySQL, usa MySQLi.
y recuerda,
evitar el SQL Inyection también depende del programador, no basta sólo confiar en la librería, sino saber utilizarla adecuadamente
Cita:
Iniciado por GatorV Mejor en lugar de hacer conjeturas, te recomiendo leer este tema:
[url]http://www.forosdelweb.com/f18/anuncio-extension-mysql-considera-obsoleta-1008145/[/url]
Ambas extensiones tienen prepared statements y te protegen contra inyección SQL.
Saludos.
Cita:
Iniciado por oscarbt Yo personalmente recomiendo y uso PDO, me parece muy bueno, hay buena documentación y como dices es muy seguro.....Con respecto a rendimiento, eso depende de tu codigo, si tu tienes una consulta bien hecha, puedes tener bueno rendimiento.....
Muchas gracias por responder a los tres.
Yo pienso igual que ustedes. PDO es el mejor.
La forma en la que utilizo PDO es:
Código:
$statement = $db->prepare("SELECT * FROM clientes WHERE nombre = ?");
$statement->execute(array('Max'));
$result = $statement->fetchAll();
echo $result[0]['nombre'];
Como ven las variables pasarían por la método preparada de PDO execute() para que exactamente no se bien lo que hace supongo que las neutraliza hay.
Si esta mal corrijan me.
Un saludo a todos.