• Эволюция PHP-mysql разработчика:
    1. Не использовать экранирование параметров в SQL-запросе
    2. Использовать неправильно
    3. Использовать правильно
    4. Не использовать экранирование параметров в SQL-запросе

Replies (6)

  • @cancel, а почему 4?
  • @Zert, потому что начинаются фреймворки или PDO, где все передаётся биндингом параметров
  • @cancel, Тогда нужно снова к пункту один. Но в php нет goto, ага? ;)
  • @wyldrodney, не надо в п.1, зачем?
  • @cancel, необходимость в явном экранировании просто отпадает
  • @cancel, В моих рельсах параметры можно передать 5-ю способами, два из них неправильные, а новчики обычно не догадываются. Полагаю, с php то же самое и фреймворк ничего не заэкранирует самостоятельно если ему не сказать это делать) Имо.