Prepared Statements a filtrowanie danych

Question

Czy podczas używania prepared statments powinienem przepuścić zmienne w których są dane do bindowania przez funkcję typu quote(), czy nie ma takiej potrzeby?

Answer 1

Jeśli masz na myśli tę funkcję: https://www.php.net/manual/en/pdo.quote.php to od razu pod linkiem jest odpowiedź:

If you are using this function to build SQL statements, you are strongly recommended to use PDO::prepare() to prepare SQL statements with bound parameters instead of using PDO::quote() to interpolate user input into an SQL statement

"instead". Więc nie, jak bindujesz to bazie/zapytaniu cudzysłowy/apostrofy nie zaszkodzą. Chyba że później potrzebujesz zrobić z tymi danymi coś, gdzie będą przeszkadzały, ale to już sam musisz sobie odpowiedzieć.

Comments

Ok, dzięki właśnie o to mi chodziło