W PDO robię zapis w takiej formie:
$stmt = $db->prepare("select COUNT(bf_id) AS ile from uzytkownicy WHERE login =:login;");
$stmt->bindValue(':login', baza_zapis($_POST["login"]), PDO::PARAM_STR);
$stmt->execute();
$stmt = $db->prepare("INSERT INTO uzytkownicy (login, haslo,typusera, opis) VALUES (:login, :haslo, :typusera, :opis);");
$stmt->bindValue(':login', baza_zapis($_POST['login']), PDO::PARAM_STR);
$stmt->bindValue(':haslo', baza_zapis($_POST['haslo']), PDO::PARAM_STR);
$stmt->bindValue(':typusera', 1, PDO::PARAM_INT);
$stmt->bindValue(':opis', baza_zapis($_POST['opis']), PDO::PARAM_STR);
$stmt->execute();
i zastanawiam się czy istnieje jakieś jeszcze niebezpieczeństwo?
W funkcji zapisującej usuwam JS, do tego to PDO i zamiana HTML ... Coś jeszcze powinienem zrobić?
Wyczytałem gdzieś że opisy itp powinno zamieniać się na BBCode przed zapisem....