Мужики, посмотрите пожалуйста код.

1) Верно ли я сделал фильтрацию входных данных (защиту от инъекций). Нужно ли сюда что-то дописать?

2) Нужно ли на сервере выставлять в это же время php_flag magic_quotes_gpc off ?

3) Если у меня простейший AJAX, нужно ли мне писать весь код заново, с создания класса, или класс как то уже создан?

$mysqli = new mysqli(DB_HOST, DB_USER, DB_PASS, DB_NAME);

$mysqli->set_charset("utf8");

$url = $mysqli->real_escape_string($url); //экранируем кавычки в строке
//$id = intval($id); //фильтруем только цифры

$result = $mysqli->query("SELECT * FROM `page` WHERE `url` = '".$url."' LIMIT 1");

if($result->num_rows > 0)
{
	$row = $result->fetch_array(MYSQLI_ASSOC);
}

print_r($row);

$result->free();

$mysqli->close();

_____________
..Работает - не трогай!

1) да
2) из мануала http://php.net/manual/ru/security.magicquotes.php

Игорь_Vasinsky
Тоесть по второму пункту лучше вообще ничего не писать или эту сроку php_flag magic_quotes_gpc off оставить?

3. На счет третьего пункта, я тоже имел ввиду, если я делаю AJAX файла, то мне просто взять и повторить ПОЛНОСТЬЮ от начала и доконца код который я написал выше, или объект БД уже создан? Я прост не очень вник в ооп до сих пор)))

_____________
..Работает - не трогай!

Какие проблемы у него в запросе???

Подготовленные выражения не имеют ничего общего с безопасностью. Особенно в mysqli_

_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.

Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.

Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.

Вижу, что сильных проблем в моем коде нет, буду переходить значит :)
bestxp
Читал про это, вроде удобно задумано, пока что на практике нужно понять намного ли это проще полноценного запроса.

У меня пару вопросов еще есть.

1) При условии, что я буду делать запросы ИМЕННО в ТАКОЙ форме как написал выше, следует ли писать этот параметр php_flag magic_quotes_gpc off в htaccess или лучше вообще стереть эту строку?

2) Не помню, по какому точно учебнику учил PHP, по моему по тому, что на этом форуме, как раз с учасием twin-а)) и там было сказано, что real_escape_string лучше писать сразу в самом запросе.
то есть из вида

$url = $mysqli->real_escape_string($url); 
$result = $mysqli->query("SELECT * FROM `page` WHERE `url` = '".$url."' LIMIT 1");

сделать

$result = $mysqli->query("SELECT * FROM `page` WHERE `url` = '".$mysqli->real_escape_string($url)."' LIMIT 1");

//пример был в процедурном и mysql

Насколько я понимаю разницы нет вообще! .. или есть?))

_____________
..Работает - не трогай!

хе)

....
public function escape($data){
    return $this->mysqli->real_escape_string($data);
}

у меня вообще в базовом классе обёртка, я использую

$data = $Model->escape($data);