PDO altyapısında zaten bir çok açıktan korunursunuz.
Fakat benim gibi mükemmeliyetçi ve her konuda panik & temkinli biri iseniz, mysql real escape string ile pdo yapısını aynı anda kullanabilirsiniz
php öğrenmeye çalışıyorum.
herkes güvenlikle ilgil pdo kullan demiş. ben prosedürel/yordamsal olarak da öğrenmeye çalışıyorum.
$word = mysqli_real_escape_string($conn, $_POST['word']);
$class = mysqli_real_escape_string($conn, $_POST['class']);
$meaning = mysqli_real_escape_string($conn, $_POST['meaning']);
$example = mysqli_real_escape_string($conn, $_POST['example']);
$sql = "INSERT INTO words (id, word, class, meaning, example)
VALUES ('', '".$word."', '".$class."', '".$meaning."', '".$example."')";bu örnekteki kullanımı doğrumudur?
ayrıca
htmlspecialchars yabancı forumlarda sadece çıkış için kullanın yazıyor ama php resmi sitesinde
htmlspecialchars_decode var
veri girişi ve çıkışı için kullanılabilir olduğu anlamına mı gelir?