@Ameon
Как вы обрабатываете данные перед добавлением в базу данных и при выводе из нее?
Опишу как это делаю обычно я на примере чисел и текста.
Я обычно использую следующие проверки:
- Убираю пробелы по бокам
$name = trim(POST['name']);
- Если получаемая переменная должна быть числом, тогда привожу к числовому
типу$num = (int)$_POST['num'];
- Использую подготовленные запросы PDO
$stmt = $pdo->prepare($sql); $stmt->execute($params);
- При выводе из БД в HTML текстовые данные обрабатываю функцией htmlspecialchars
$name = htmlspecialchars($_POST['name']);
Решения вопроса 0
Ответы на вопрос 1
@eandr_67
Всё выглядит достаточно разумным.
Если параметризированные запросы, то преобразовывать в число не обязательно. Собственно, само использование параметризованных запросов — главная защита от SQL-инъекций.
Советую дополнительно посмотреть на https://www.php.net/manual/ru/ref.filter.php — там много интересных возможностей.
Если параметризированные запросы, то преобразовывать в число не обязательно. Собственно, само использование параметризованных запросов — главная защита от SQL-инъекций.
Советую дополнительно посмотреть на https://www.php.net/manual/ru/ref.filter.php — там много интересных возможностей.