|
Medlem
|
|
Reg.datum: Apr 2006
Inlägg: 199
|
|
|
Medlem
Reg.datum: Apr 2006
Inlägg: 199
|
Om man undviker PDO av prestandaskäl tror jag man är lite snett ute. Om man trots allt inte vill använda PDO finns som ovan nämnts utmärkta mysql_real_escape_string() samt motsvarande för de andra databasinterfacen.
Man ska inte filtrera text själv. Det är väldigt bökigt att helt filtrera alla varianter med olika escape-tecken, hex-tecken etc. Text är svårfiltrerad. Däremot ska man alltid kontrollera alla strukturerade fält som valuta, nummer, person-nummer, datum etc. Där kan man ju enkelt sätta upp enkla och koncisa filter-regler.
Dessutom är jag tveksam till att förändra input-värden. Om där finns saker som inte ska in i databasen bör man väl anse att all data från källan är att anse som dubiös och icke önskvärd. Då bör man väl hellre felhantera än lägga in skräp i databasen. Bad practice!
|