teddy пишет:$getParams = array_map(function($val){
return trim(strip_tags($val));
},$_GET);
var_dump($getParams);
Цитата:Parse error: parse error, unexpected T_VARIABLE in T:\home\virtual\nawatar-ru\test.php on line 2
Нужно понимать так?
Каким образом здесь можно создать полбзовательский фильтр?
teddy пишет:а лучше препарированные запросы и нафиг эскейп стринги
Я же чужую программу ставлю! Не я запросы придумывал. Насчет килограмма кода согласен, достаточно одного самого жесткого фильтра, остальное в соответствии с программой.
(Добавление)
teddy пишет:И да... если пишем в базу, то в array_map добавите ещё real escape string
Для этого соединение с базой уже должно существовать?
(Добавление)
teddy пишет:а лучше препарированные запросы и нафиг эскейп стринги
http://www.php.net/manual/ru/pdo.prepared-statements.php пишет:Параметры подготовленного запроса не требуется экранировать кавычками; драйвер это делает автоматически. Если в приложении используются исключительно подготовленные запросы, разработчик может быть уверен, что никаких SQL инъекций случиться не может (однако, если другие части текста запроса записаны с неэкранированными символами, SQL инъекции все же возможны; здесь речь идет именно о параметрах).
Бздительность лишней не бывает?
|