Инъекции

tarabukinivan

Новичок
Доброе утро форумчане!
В PDO запросы типа:
Код:
INSERT INTO {$this->table} (login, name, email, activation, pass) VALUES(?,?,?,?,?)
.
Нужно ли обрабатывать входные данные login, name, email, activation, pass функциями mysql_real_escape_string, trim, htmlspecialchars, strip_tags или чем-то еще? Или PDO сам их обрабатывает?
 

Фанат

oncle terrible
Команда форума
trim-то как в эту компанию попал? От каких "инъекций" он защищает?

Если отвечать на твой вопрос буквально, то "PDO сам обрабатывает login, name, email, activation, pass". А вот
$this->table надо обрабатывать самому. Но ни одна из перечисленных функций для этого не подходит.
И не забывать, что запрос вида "SELECT ... WHERE " тоже надо выполнять подобным образом.

Ну и тебе надо конечно сесть и внимательно почитать, что делает каждая из них, и разобраться, с какого перепугу они вообще попали в этот список
 

Фанат

oncle terrible
Команда форума
Ну это, если разработчик сам себе не доверяет, сомневаюсь, что имя таблицы будет приходить из запроса.
Во-первых, разработчики бывают разные. Один разрабатывал, другой пользуется.
Во-вторых, добавь таблицу order и посмотри что будет.
 
Сверху