leí que con DOP que no es necesario para escapar de las variables si se utiliza preparar y pasar las variables de ejecutar:¿Debo escapar de la entrada de DB?
$st = $dbh->prepare("INSERT INTO mytable (name,email) VALUES (?,?)");
$st->execute(array($_POST['name'], $_POST['email']));
¿Es esta tru?
¿O todavía tengo que hacer algo con $ _POST allí?
A pesar de que no necesita escaparse, asegúrese de verificar la cordura, los rangos aceptables, el correo electrónico con el formato correcto, etc., y devolver los mensajes de error a su usuario cuando corresponda. –
sí, tenía curiosidad por los ataques sql – JohnSmith
Siempre que sea estricto con lo que coloca en su consulta y dónde lo hace (es decir, use parámetros en todo momento, nunca * nunca * permita que los datos proporcionados por el usuario se filtren en partes concatenadas de consultas dinámicas) entonces estarás a salvo. – Polynomial