15-01-2010, 01:33 PM
Effectivement, à terme (à partir de PHP 6) les extensions mysql et mysqli vont disparaitre. Et effectivement, PDO permet de lancer des requêtes non-préparées ; néanmoins, même en ne devant les exécuter qu'une seule fois, je considère que le gain de sécurité et de simplicité mérite d'utiliser des requêtes non-préparées pour tout ce qui demande des paramètres.
D'autant que le problème avec PDO, c'est que mysql_real_escape_string ne fonctionne plus (puisqu'il n'y a pas de connexion via mysql_connect), donc cela alourdi d'autant le processus de vérification et cela ralenti l'ensemble du script, à mon avis, de protéger une requête plutôt que de l'exécuter en préparée.
D'autant que le problème avec PDO, c'est que mysql_real_escape_string ne fonctionne plus (puisqu'il n'y a pas de connexion via mysql_connect), donc cela alourdi d'autant le processus de vérification et cela ralenti l'ensemble du script, à mon avis, de protéger une requête plutôt que de l'exécuter en préparée.