Dålig formulering från min sida kanske. Jag sa ju att jag inte var elak. Däremot är det ett stort problem att alla tutorials för nybörjare totalt ignorerar säkerhet. Det är inte nybörjarnas fel.
Jo metoden spelar roll. Använder du konsekvent prepared statements i PDO så slipper du komma ihåg saker som mysql_real_escape_string() på varje inkommande variabel, vare sig det är saker som kommer genom $_GET, $_POST, $_COOKIE eller $_SERVER eller från annan källa.
Det är väl ett plus om något! Det gäller att välja rätt väg från början så att man kan vara lite lat
Därför la jag också med ett komplett exempel på hur man går tillväga med PDO:s prepared statements.
Åt andra hållet ska man alltid använda htmlspecialchars() m fl metoder innan man visar data som kommer från extern källa på en webbsida.
Att första leka lite och sen tänka på säkerheten gör det kanske lite roligare i i början men är kanske inte alltid så bra. Det är faktiskt bara några enkla regler man behöver ha i åtanke för att täcka det mesta - inte allt men det viktigaste. Gör man det från början är man såå tacksam när man ska mecka i sina gamla grejer som börjat leva sina egna liv.
Bra vanor grundlägger man inte genom att börja med slarv
