Usamos cookies para medir audiência e melhorar sua experiência. Você pode aceitar ou recusar a qualquer momento. Veja sobre o iMasters.
Hoje um amigo me pediu ajuda porque o sistema dele não estava gravando informações de caminhos no Windows, ex:
Ele queria gravar em uma coluna x o valor
$teste = "D:\wamp\www\";
Expliquei pra ele sobre o addslashes que resolveria esse problema, porém parei para pensar: Todo POST que é editável pelo usuário e vai para o banco corre o risco de ter palavras-chave do SQL.
Pergunta: É uma boa prática passar TODAS as variáveis que vem de POST por um mysql_real_escape_string() antes de gravar no banco?
Carregando comentários...
