Форумы портала PHP.SU :: Версия для печати

Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Форумы портала PHP.SU :: Версия для печати :: Защита от инъекций

Форумы портала PHP.SU » PHP » SQL и Архитектура БД » Защита от инъекций

Страниц (1): [1]

1. tarabukinivan - 11 Сентября, 2018 - 04:16:21 - перейти к сообщению

Доброе утро форумчане!
В PDO запросы типа:

CODE (text):
скопировать код в буфер обмена

INSERT INTO {$this->table} (login, name, email, activation, pass) VALUES(?,?,?,?,?)

.
Нужно ли обрабатывать входные данные login, name, email, activation, pass функциями mysql_real_escape_string, trim, htmlspecialchars, strip_tags или чем-то еще? Или PDO сам их обрабатывает?

2. Мелкий - 11 Сентября, 2018 - 09:56:15 - перейти к сообщению

Если вы используете prepared statements - то за корректный транспорт значений отвечает prepared statement.
Важно, что кодировка соединения должна быть указана в DSN строки подключения.

tarabukinivan пишет:

mysql_real_escape_string

Давно удалён.

tarabukinivan пишет:

trim, htmlspecialchars, strip_tags

Не имеют ровным счётом никакого отношения к SQL.

3. tarabukinivan - 13 Сентября, 2018 - 11:23:53 - перейти к сообщению

Спасибо!