Quote Originariamente inviata da brancomat Visualizza il messaggio
Ho spiegato nel post precedente perchè è fatto così, per una "difesa in profondità" usando la granularità dei diritti dell'utente mysql (altra cosa ripresa da quel sito, ovviamente)
Design che personalmente ritengo assolutamente privo di ogni senso, indipendentemente da chi l'abbia suggerito.

Quote Originariamente inviata da brancomat Visualizza il messaggio
Eh... magari... ovviamente i dati forniti dall'utente DEVONO andare a finire nella query, altrimenti il sito diventa pagine HTML e di dinamico non c'è nulla.
Non ho capito se mi prendi in giro. Se leggi bene ho detto niente input utente nella STRINGA che compone la query, i dati ovviamente ci vanno, ma separati (come parametri). Se non e' possibile (es. nomi di tabella), allora whitelist.

Quote Originariamente inviata da brancomat Visualizza il messaggio
Riassumo: lasciando stare gli aspetti filosofici (che non mi interessano), nè la possibilità di fare in futuro non so che cose fiche (che non mi interessano), l'approccio che ho esposto può dare un livello di sicurezza ragionevole anche per un dilettante PHP ?
No. L'approccio che hai esposto e' piu' compicato e meno sicuro di quelli che ti sono stati suggeriti.