PHP/MySQL | PDO плейсхолдеры
Тема закрыта by
EvilMan
Причина: Thanks
EvilMan
Причина: Thanks
Добрый день!) Сегодня у меня встал вопрос 
Если я использую подготовленные запросы по типу Стоит ли мне фильтровать входящие данные ,которые ввел пользователь? ну там прогонять через эскейп? Или в этом нет нужды?
Если я использую подготовленные запросы по типу php
$sql_insert = $pdo->prepare("INSERT INTO `forum_topics` (name,content,id_section,id_user) VALUES (?,?,?,?)"); if ($sql_insert->execute(array($name, $content, $id_section, $this_id))) { $_SESSION['msg'] = "Создан успешно!"; } 
PAIN EvilMan (14.03.2020 в 20:08) Добрый день!) Сегодня у меня встал вопрос Если я использую подготовленные запросы по типу Стоит ли мне фильтровать входящие данные ,которые ввел пользователь? ну там прогонять через эскейп? Или в этом нет нужды?
Не по теме: массивы можно через [ ] юзать с 5.4+ По теме: от xss плейсхолдеры не помогут
Если я использую подготовленные запросы по типу php
$sql_insert = $pdo->prepare("INSERT INTO `forum_topics` (name,content,id_section,id_user) VALUES (?,?,?,?)"); if ($sql_insert->execute(array($name, $content, $id_section, $this_id))) { $_SESSION['msg'] = "Создан успешно!"; } ________
посл. ред. 14.03.2020 в 20:16; всего 1 раз(а); by Pain
Pain , Ну я сегодня прочел около 3-4 статей в нете.
Тот же хабр и т.д. ,везде написано,чтобы писать без дыр и т.д. в пдо нужно именно так юзать.
Возможно я что-то неправльно понял.
если я получаю число в $_GET то я делаю abs(intval()) ему еще и в плейсхолдер пихаю.
А если получаю $_POST(по типу смс в чат и т.д.) то просто в плейсхолдер.(а раньше через эскейп проганял)
Вот и думаю,нужно ли эскейпить,если я юзаб плейсхолдер
________
посл. ред. 14.03.2020 в 20:20; всего 1 раз(а); by EvilMan
Тот же хабр и т.д. ,везде написано,чтобы писать без дыр и т.д. в пдо нужно именно так юзать.
Возможно я что-то неправльно понял.
если я получаю число в $_GET то я делаю abs(intval()) ему еще и в плейсхолдер пихаю.
А если получаю $_POST(по типу смс в чат и т.д.) то просто в плейсхолдер.(а раньше через эскейп проганял)
Вот и думаю,нужно ли эскейпить,если я юзаб плейсхолдер
________
посл. ред. 14.03.2020 в 20:20; всего 1 раз(а); by EvilMan
EvilMan ,
Ну prepare используют для защиты от sql inj, я же тебе говорю за xss
________
посл. ред. 14.03.2020 в 20:23; всего 1 раз(а); by Pain
А если получаю $_POST(по типу смс в чат и т.д.) то просто в плейсхолдер.(а раньше через эскейп проганял)
Ну prepare используют для защиты от sql inj, я же тебе говорю за xss
________
посл. ред. 14.03.2020 в 20:23; всего 1 раз(а); by Pain
EvilMan , читал в мануале пдо что входящие данные фильтровать не надо там серовно выдаст % ну если в базу 
510222890 , Спасибо!)
Видимо,этот момент я пропустил)
Видимо,этот момент я пропустил)
Ты без обвёртки пишеш?
510222890 , без