Witam
Zastanawiam się nad zabezpieczeniami skryptu. Wszystkie zapytania do bazy ma zrobione na PDO. Przy rejestrowaniu użytkownika i logowaniu użyłem wyrażeń regularnych w celu wycięcia ewentualnych niebezpiecznych znaków. Dozwolone są tko [a-z] [0-9]
Dodatkowo mam formularz kontaktowy, gdzie można wpisać dowolny tekst bez żadnych ograniczeń. Dane są zapisywane w bazie. Tutaj również użyłem PDO i zrobiłem to schematem prepare, bindvalue, execute.
Pytanie brzmi, czy same PDO zabezpieczy mnie w pełni przed mysql injection? Bo niby teoretycznie zabezpiecza, a jak jest w praktyce? Lub w jaki sposób mógłbym jeszcze zabezpieczyć sie przed ewentualnymi atakami?
Czy użycie wyrażenia regularnego które wycinalo by znaki tj. = - ' " *% jest dobrym pomysłem?
Pozdrawiam