PDO prepare

marco_rx · 18 Set 2011

Avrei un dubbio: utilizzando il metodo prepare() di PDO occorre ancora effettuare l'escape delle stringhe?
Ad esempio io ho una stringa che contiene degli apici, devo effettuare l'escape o non serve?
Per quanto riguarda l'html invece se ho una stringa che contiene del codice per non farlo eseguire devo prima convertirlo nelle relative entità o no?

Grazie per gli eventuali chiarimenti

Eliox · 19 Set 2011

Si, se le tue query sono parametrizzate sei abbastanza al sicuro con i Prepared statements, ma dato che come recita il manuale ufficiale:

if other portions of the query are being built up with unescaped input, SQL injection is still possible

direi di filtrare tutto comunque, ivi compreso utilizzare htmlspecialchars() o htmlentities() per le entità HTML.

Autore	Titolo	Forum	Risposte	Data
L	pdo (stampare un valore con ritorno a funzione)	PHP	0	14 Feb 2020
K	[PHP] PDO.bindingParam	PHP	2	18 Set 2019
M	[PHP] Interrompere DROP TABLE con PDO	PHP	0	28 Gen 2019
M	[PHP] Alternativa a datagrid con PDO	PHP	6	26 Gen 2019
M	[PHP] Creare un menu a tendina con pdo	PHP	18	25 Gen 2019
M	[PHP] Array di array - PDO	PHP	2	23 Dic 2018
	errore con mysql insert in PDO	PHP	29	9 Ott 2018
W	[PHP] Creazione classe PDO	PHP	4	3 Set 2018
F	PHP, PDO e visualizzazioni errori e/o eccezioni	PHP	3	25 Feb 2018
	[PHP] mvc, pdo e classi...	PHP	7	9 Gen 2018
F	Help-PDO copiare Database MySQL	PHP	3	3 Gen 2018
F	php PDO mysql connessione(select_db)	PHP	3	27 Dic 2017
	redirect a altra pagina php dopo commit su postgresql con PDO	PHP	1	6 Ott 2017
K	Non trovo l'errore! PDO MYSQL UPDATE	PHP	2	10 Mar 2017
C	[PHP] PDO prepared statement - select query errore	PHP	7	21 Dic 2016
	[PHP] Errore $this->db_connection = new PDO	PHP	0	22 Nov 2016
	Non riesco a connettermi al DB tramite PDO	Database	10	24 Giu 2016
	[PHP][PDO][MySQL] Non registra ma non da nemmeno errori.	PHP	0	22 Dic 2015
	[PHP][PDO] Come connettersi al database	Snippet PHP	0	22 Nov 2015
	[PDO][PHP[MySQL] Piccolo modulo di ricerca in un sito tramite l'operatore LIKE	Snippet PHP	0	14 Nov 2015
	[PHP e funzioni con PDO] Funzione per generare corpo tabella	PHP	1	8 Lug 2015
	fetchAll() PDO	PHP	13	20 Apr 2015
D	Paginazione dati PDO	PHP	8	22 Mar 2015
N	Problemi estrazione / visualizzazione immagini dal database con PDO	PHP	2	13 Mar 2015
R	Organizzazione PHP Mysql PDO	PHP	15	23 Feb 2015
M	PDO e mysqli	PHP	1	27 Dic 2014
	[PDO][MySQL] L'update non avviene	PHP	1	3 Nov 2014
	[PDO] insert che non inserisce e non da errori	PHP	1	22 Ott 2014
	PDO e connessioni a più database	PHP	4	18 Mar 2014
	Da mysql a PDO	PHP	3	14 Dic 2013
S	PDO accertarsi del avvenimento della query	PHP	1	18 Ott 2013
	PHP PDO: non c'ho capito niente	PHP	1	27 Set 2013
L	[RISOLTO]PDO if per "non ci sono dati"	PHP	8	1 Ago 2013
L	pdo e sistema crud	PHP	1	27 Lug 2013
L	Paginazione con pdo.	PHP	8	11 Lug 2013
L	pdo con login	PHP	2	8 Lug 2013
L	PDO : bindParam	PHP	3	5 Lug 2013
L	login con pdo/mysql	PHP	2	1 Lug 2013
S	Problema di login con PDO	PHP	2	10 Gen 2013
B	Esercizio PDO	PHP	20	9 Gen 2013
B	Pdo	PHP	6	16 Nov 2012
S	Meglio mysqli o PDO ?	PHP	2	22 Set 2012
	query con PDO	PHP	11	5 Lug 2012
	classe pdo	PHP	9	3 Lug 2012
L	da mysql a pdo	PHP	4	19 Lug 2011

Cerca

Cerca

PDO prepare

marco_rx

Utente Attivo

Eliox

Utente Attivo

Discussioni simili