Если говорить о безопасности запросов к бд. Я делаю так. Достаточно ли этого?
P.S. Что-то я начал путаться.
Магические кавычки. Вызывается при инициализации на главной странице.
function stripslashesDeep($data)
{
if(is_array($data))
$data = array_map("stripslashesDeep", $data);
else
$data = stripslashes($data);
return $data;
}
if(get_magic_quotes_gpc())
{
$_GET = stripslashesDeep($_GET);
$_POST = stripslashesDeep($_POST);
$_COOKIE = stripslashesDeep($_COOKIE);
$_REQUEST = stripslashesDeep($_REQUEST);
}
Далее обрабатываю входные данные и немного упрощаю доступ к ним.
foreach ($_GET as $key => $value)
{
$n_key = 'get_'.$key;
$$n_key = (empty($_GET[$key])) ? 'default' : trim(nl2br(htmlspecialchars($value, ENT_QUOTES)));
};
foreach ($_POST as $key => $value)
{
$n_key = 'post_'.$key;
$$n_key = (empty($_POST[$key])) ? 'default' : trim(nl2br(htmlspecialchars($value, ENT_QUOTES)));
};
Каждый запрос к БД составляется следующим образом.
$q = mysql_query("SELECT * FROM `table` WHERE `field`='".mysql_real_escape_string($var)."'");
Избавит ли меня от всего этого использование PDO или mysqli c его prepared statements?