• [^] # Re: Sécurité ?

    Posté par . En réponse à la dépêche Lyon : Journée autour de Piwigo, galerie photo web. Évalué à 0.

    Moi, j'ai plutôt tendance à ne pas échapper mes paramètres de requêtes et à laisser la couche de dessous le faire. Ainsi, l'échappement des valeurs n'est pas éparpillé mais se fait à UN SEUL endroit. Et pas de pré-échappement qui fait que l'on se retrouve à manipuler des données avec des guillemets dans tous les sens - on veut manipuler les valeurs, pas une représentation des valeurs. Les requêtes préparées sont un exemple:

    $r = prepare('INSERT INTO table (field1, field2) VALUES (?, ?)');
    $r->execute($value1, $value2);