PDO nun hacklenmeyeceğini kim çıkarttı acaba ? Salt veya Framework veya PDO yapısı ile kodlanmış bir site get post gibi parametreleri kontrol etmeden işlem yaptırırsa gayet sql injection yiyebilirsiniz.
Direk query ile basarsanız yersiniz tabii, fakat prepare kullanırsanız bu olay zorlaşır.Prepare ile direkt indirilmez veritabanı olsa bile kullanıma göre açık olabilir.Ben xss ve sql injection saldırıları için ekstradan aşağıdaki gibi bir önlem alıyorum..
function safe($x) {
$x = strip_tags(html_entity_decode($x));
$x = str_replace("zararlı kod","",$x);
return $x;
}
bu geliştirilebilir vs..