Witam,
Czy jest potrzeba filtrowania odbieranych danych poprzez wbudowana funkcję w php
mysql_real_escape_string
, jesli i tak potem te dane , które pobieram GET'em i tak używam w PDO i wszystkie dane binduje?
przykład.
$nick = mysql_real_escape_string($_GET['nick']);
$sql = $db -> prepare('SELECT * FROM users WHERE nick = :nick');
$sql -> bindValue (':nick' , $nick);
$sql -> execute();
czy wystarczy bezpośrednio dać GET'a bez żadnego filtrowania, skoro i tak idzie bindem poprzez PDO , z czego mi wiadomo jest bezpieczne na wszelkiego typu ataki SQL INJECTION?