Citat:
Ursprungligen postat av dotvoid
Bra sammanfattning. Jag brukar dock använda mig av pdo:s prepared statements enligt ovan. Då görs detta automatiskt när värden binds mot sql-satsens platshållare. Om man inte använder prepared statements så används pdo:s quote(). Enligt exemplet ovan:
$dbh = new PDO($dsn, $dbUser, $dbPassword);
$quoted_value = $dbh->quote($value);
|
Det spelar ju inte så stor roll vilken metod man använder, i vilket fall som helst måste man komma ihåg att använda den =)
Tycker det är lite överdrivet att säga att det är läskigt att Fia inte har koll på säkerheten. Att inte tänka på säkerheten är ett av de absolut vanligaste misstagen nybörjare gör, oavsett språk. Det är ingenting de flesta bryr sig om i början och det kanske inte är så allvarligt egentligen.
Fia, lek lite med koden och ha kul och börja sedan läsa på om säkerheten när du känner att du vill börja programmera lite mer på allvar. Det finns mer än bara sql injections du bör tänka på då.