Тема закрыта!
Nets, [c] Самой безопасной ф-цией считается mysql_escape_string но её нету в PDO, но в нем есть prepare/execute, что безопасно, но не совсем удобно, к примеру если нужно проверить существование строки в таблице нужно будет писать тонну кода, но куда проще использовать обычный запрос query
***[/c]
Как нету
http://php.net/manual/ru/pdo.quote.php
sql-injection и htmlspecialchars?? Что?
Я еще в 2012 писал статью на эту тему ...
Очаг
Всё там есть. И нормальные люди используют какую либо обертку над PDO, и не нужно ничего сочинять
<?php
$_POST['text'] = htmlentities($_POST['text']);
?>
Zдешний, тоже подумал, что обертка самый верный способ
Victor, не знаю о какой статье ты говоришь, но в случае с htmlspecialchars она поможет преобразовать кавычки тем самым уменьшить вероятность sql inj
apolscky, mysql_escape_string и pdo->quote() работают по-разному — последние автоматически приписывают кавычки
(с) хабр
Изм. 1 раз. / Посл. изм. (21 июл 2016, 13:55)
