PDO prepare

M

marco_rx

Utente Attivo
19 Dic 2010
129
0
0
Avrei un dubbio: utilizzando il metodo prepare() di PDO occorre ancora effettuare l'escape delle stringhe?
Ad esempio io ho una stringa che contiene degli apici, devo effettuare l'escape o non serve?
Per quanto riguarda l'html invece se ho una stringa che contiene del codice per non farlo eseguire devo prima convertirlo nelle relative entità o no?

Grazie per gli eventuali chiarimenti
 
Si, se le tue query sono parametrizzate sei abbastanza al sicuro con i Prepared statements, ma dato che come recita il manuale ufficiale:

if other portions of the query are being built up with unescaped input, SQL injection is still possible
Clicca per allargare...

direi di filtrare tutto comunque, ivi compreso utilizzare htmlspecialchars() o htmlentities() per le entità HTML.
 
Devi accedere o registrarti per poter rispondere.

Discussioni simili

L
pdo (stampare un valore con ritorno a funzione)
Risposte
0
Visite
1K
PHP
luigi777
L
K
[PHP] PDO.bindingParam
Risposte
2
Visite
1K
PHP
Knai
K
M
[PHP] Interrompere DROP TABLE con PDO
Risposte
0
Visite
1K
PHP
Max61
M
M
[PHP] Alternativa a datagrid con PDO
Risposte
6
Visite
3K
PHP
Max61
M
M
[PHP] Creare un menu a tendina con pdo
Risposte
18
Visite
4K
PHP
Max61
M
M
[PHP] Array di array - PDO
Risposte
2
Visite
2K
PHP
mDesk
M
3_g
errore con mysql insert in PDO
Risposte
29
Visite
6K
PHP
3_g
3_g
W
[PHP] Creazione classe PDO
Risposte
4
Visite
2K
PHP
webfra01
W
F
PHP, PDO e visualizzazioni errori e/o eccezioni
Risposte
3
Visite
3K
PHP
frankz
F
3_g
[PHP] mvc, pdo e classi...
Risposte
7
Visite
3K
PHP
3_g
3_g
F
Help-PDO copiare Database MySQL
Risposte
3
Visite
2K
PHP
marino51
marino51
F
php PDO mysql connessione(select_db)
Risposte
3
Visite
2K
PHP
frankz
F
Fredyss
redirect a altra pagina php dopo commit su postgresql con PDO
Risposte
1
Visite
2K
PHP
marino51
marino51
K
Non trovo l'errore! PDO MYSQL UPDATE
Risposte
2
Visite
2K
PHP
Knai
K
C
[PHP] PDO prepared statement - select query errore
Risposte
7
Visite
3K
PHP
cleto
C
ANDREA20
[PHP] Errore $this->db_connection = new PDO
Risposte
0
Visite
1K
PHP
ANDREA20
ANDREA20
CristianB72
Non riesco a connettermi al DB tramite PDO
Risposte
10
Visite
4K
Database
marino51
marino51
MarcoGrazia
[PHP][PDO][MySQL] Non registra ma non da nemmeno errori.
Risposte
0
Visite
2K
PHP
MarcoGrazia
MarcoGrazia
MarcoGrazia
[PHP][PDO] Come connettersi al database
Risposte
0
Visite
4K
Snippet PHP
MarcoGrazia
MarcoGrazia
MarcoGrazia
[PDO][PHP[MySQL] Piccolo modulo di ricerca in un sito tramite l'operatore LIKE
Risposte
1
Visite
5K
Snippet PHP
MarcoGrazia
MarcoGrazia
Alto Basso