Tôi đọc mà với PDO bạn không cần phải thoát khỏi các biến nếu bạn sử dụng chuẩn bị và thông qua các biến trong thực hiện:Tôi có cần phải thoát khỏi đầu vào DB không?
$st = $dbh->prepare("INSERT INTO mytable (name,email) VALUES (?,?)");
$st->execute(array($_POST['name'], $_POST['email']));
là trù này?
Hoặc tôi vẫn cần làm điều gì đó với $ _POST ở đó?
Mặc dù không cần thoát, hãy đảm bảo kiểm tra các giá trị đầu vào cho độ chính xác, phạm vi chấp nhận được, email được định dạng đúng, v.v ... và trả lại thông báo lỗi cho người dùng của bạn khi thích hợp. –
vâng, tôi chỉ tò mò về các cuộc tấn công sql – JohnSmith
Miễn là bạn nghiêm ngặt về những gì bạn đặt vào truy vấn của bạn và nơi bạn làm điều đó (tức là sử dụng tham số mọi lúc, không bao giờ * bao giờ * cho phép dữ liệu do người dùng cung cấp bị rò rỉ vào các phần ghép nối của các truy vấn động) thì bạn sẽ an toàn. – Polynomial