PDO prepare

marco_rx

Utente Attivo
19 Dic 2010
129
0
0
Avrei un dubbio: utilizzando il metodo prepare() di PDO occorre ancora effettuare l'escape delle stringhe?
Ad esempio io ho una stringa che contiene degli apici, devo effettuare l'escape o non serve?
Per quanto riguarda l'html invece se ho una stringa che contiene del codice per non farlo eseguire devo prima convertirlo nelle relative entità o no?

Grazie per gli eventuali chiarimenti
 
Si, se le tue query sono parametrizzate sei abbastanza al sicuro con i Prepared statements, ma dato che come recita il manuale ufficiale:

if other portions of the query are being built up with unescaped input, SQL injection is still possible

direi di filtrare tutto comunque, ivi compreso utilizzare htmlspecialchars() o htmlentities() per le entità HTML.
 

Discussioni simili