Sul PDO::Prepare page si afferma,Le istruzioni preparate in PHP DOP devono essere sottoposte a escape?
"e aiuta a prevenire attacchi di SQL injection, eliminando la necessità di citare manualmente i parametri"
Sapendo questo, c'è una funzione PHP come mysql_real_escape_string() che si prende cura delle punture in fuga per DOP? O il PDO si prende cura di tutto ciò che fugge per me?
EDIT
Mi rendo conto ora che ho chiesto la domanda sbagliata. La mia domanda è stata davvero: "Che cosa si occupa di DOP per me?" Che ora capisco con queste risposte che rimuove davvero solo la necessità di sfuggire alle citazioni. Ma avrei comunque bisogno di fare qualsiasi altra sanitizzazione PHP sui valori che passo alla funzione execute. Come htmlentities(), strip_tags() ... ecc ...
Non esiste una funzione di "sanitizzazione" universale nel mondo. È come la vita reale: lavarsi le mani, usare i preservativi e tenere i soldi nel forziere sicuro sono tutti per la sicurezza. Ma ciò non significa che la tua mela, lavata e avvolta nel preservativo e messa in un forziere sicuro, sia considerata sicura. Ogni funzione di sanitizzazione è per il proprio scopo. Non chiedere sicurezza HTML dalla funzione del database. Sarebbe strano. –
@Col. Shrapnel +1 Bel esempio lol ..... – Metropolis