В настоящее время я работаю над сайтом группы колледжей моей церкви, и я начал немного беспокоиться о безопасности того, что я пишу. Например, я использую эту функцию: function dbConnect() { global $dbcon; $dbInfo['server'] = "localhost"; $dbInfo['database'] = "users"; $dbInfo['username'] = "root"; $dbInfo['password'] = "password"; $con = "mysql:host=" . $dbInfo['server'] . "; dbname=" . $dbInfo['database']; $dbcon […]
Этот вопрос был первоначально задан в комментарии здесь . Необходим ли filter_input (), если вы используете параметризованные запросы и htmlspecialchars () перед печатью любых данных, предоставленных пользователем? Мне кажется ненужным для меня, но мне всегда говорили «Filter Input, Escape Output». Итак, помимо базы данных (или другой формы хранения), есть ли необходимость фильтровать введенные данные?