Witam wszystkich otóż ostatnio zainteresowała mnie funkcja filter_input. Czy wykorzystując tylko i wyłącznie ją daje 100% gwarancję bezpieczeństwa przeciwko sql injection?
ps. chodzi mi tylko i wyłącznie o filtrowanie danych
Pozdrawiam
Pełna wersja: Pytanie o filter_input
Nie... nie daje pewności. Zależy bowiem jak zostanie użyta.
Jak użyta? poprawnie oczywiście 
a tak serio to na chwile obecną mam tonę(albo i dwie) kodu filtrującego. Niby wszystko jest ładnie poukładane w klasy, samo oczyszczanie też niczego sobie ale mi osobiście się nie podoba dlatego szukam jakiejś alternatywy.
Powiedzmy, że mam prosty skrypt logowania z polami login i hasło. Filtracji trzeba poddać pole login
Czy to wystarczy aby zapobiec SQLI?
ps. hasła nie filtruje bo i tak poleci przez md5
Pozdrawiam
a tak serio to na chwile obecną mam tonę(albo i dwie) kodu filtrującego. Niby wszystko jest ładnie poukładane w klasy, samo oczyszczanie też niczego sobie ale mi osobiście się nie podoba dlatego szukam jakiejś alternatywy.Powiedzmy, że mam prosty skrypt logowania z polami login i hasło. Filtracji trzeba poddać pole login
Czy to wystarczy aby zapobiec SQLI?
ps. hasła nie filtruje bo i tak poleci przez md5
Pozdrawiam
Nie. FILTER_SANITIZE_STRING tylko striptaguje stringa. Musisz jeszcze zająć się znakami specjalnymi w stylu apostrofy pojedyncze czy podwójne i tutaj radziłbym się przyjrzeć jeszcze FILTER_SANITIZE_SPECIAL_CHARS
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.