fixxxer
не загрузил.
Я так же вроде сразу и написал, что важно различать ситуации: a) когда от пользователя приходят имена полей и б) когда значения полей.
(мне это понятней чем кодогенерация и динамическая кодогенерация ну и прочая конфигурация table gateway)
Важно потому, что разные инъекции могут возникнуть и нужна разная защита. Без этого не будет осознано.
В статье все это есть и белый список нужен потому как addslashes() уже не хватает, все хорошо, статья мне понравилась.
Я лишь хотел продемонстрировать, что в приведеном практическом примере (от пользователя только значения полей) с insert все будет безопасно и можно обойтись без плейсхолдеров.
А с update нужно применить или плейсхолдер или стандртный 'id=\'' . (int) $id '\'';
А если пойти на прицип и пытаться исправить функцию, делая параметр $parameters - безопасным, она потеряет свою простоту.
Автор, оправдано утверждая что mysql_real_escape_string() -- это миф, создает внекотором роде свой про плейсхолдеры.
