Lo vedi qui
http://phpsecurity.readthedocs.org/e...fense-in-depth
Lo ripeto per la 5 volta.Non ho capito se mi prendi in giro. Se leggi bene ho detto niente input utente nella STRINGA che compone la query, i dati ovviamente ci vanno, ma separati (come parametri). Se non e' possibile (es. nomi di tabella), allora whitelist.
Non ho query "concatenate", ho tutte statement preparate PDO. La concatenazione è nel nome della tabella, ed è lì "l'inghippo"
Se sapessi come ridefinire la bindValue...No. L'approccio che hai esposto e' piu' compicato e meno sicuro di quelli che ti sono stati suggeriti.