Фильтрация входящих данных - PROFIWM.COM

Купить рекламу

Шины и диски для настоящих боссов дороги;

| | |

Обновить

Тема закрыта!

11.

Mstivoj

2.18

(21 июл 2016, 01:38) [0/0] [0] [спам] [под]

elfi, Давайте без матов - Предупреждение.

12.

apolscky

(21 июл 2016, 02:04) [0/0] [0] [спам] [под]

Nets, [c] Самой безопасной ф-цией считается mysql_escape_string но её нету в PDO, но в нем есть prepare/execute, что безопасно, но не совсем удобно, к примеру если нужно проверить существование строки в таблице нужно будет писать тонну кода, но куда проще использовать обычный запрос query
***[/c]
Как нету
http://php.net/manual/ru/pdo.quote.php

13.

Victor

41.37

(21 июл 2016, 02:26) [0/0] [0] [спам] [под]

sql-injection и htmlspecialchars?? Что?
Я еще в 2012 писал статью на эту тему ...

Очаг

14.

Хануман

8.98

(21 июл 2016, 04:03) [0/0] [0] [спам] [под]

Nets,

Всё там есть. И нормальные люди используют какую либо обертку над PDO, и не нужно ничего сочинять

15.

Devostator

0.85

(21 июл 2016, 05:23) [0/0] [0] [спам] [под]

<?php

$_POST['text'] = htmlentities($_POST['text']);

?>

16.

Nets

0.72

[автор] (21 июл 2016, 13:49) [0/0] [0] [спам] [под]

Zдешний, тоже подумал, что обертка самый верный способ

17.

Nets

0.72

[автор] (21 июл 2016, 13:51) [0/0] [0] [спам] [под]

Victor, не знаю о какой статье ты говоришь, но в случае с htmlspecialchars она поможет преобразовать кавычки тем самым уменьшить вероятность sql inj

18.

Nets

0.72

[автор] (21 июл 2016, 13:54) [0/0] [0] [спам] [под]

apolscky, mysql_escape_string и pdo->quote() работают по-разному — последние автоматически приписывают кавычки
(с) хабр

Изм. 1 раз. / Посл. изм.

Nets

0.72

(21 июл 2016, 13:55)

19.

Happy

0.02