mysqli_real_escape_string

[zacca94]

Piano piano lì volevo arrivare, alla scoperta dell'acqua calda...

se è riferito a me devi comunque fare il santize di ogni singola variabile che utilizzi, se uno si ricorda di purificare ogni variabile che utilizza all'interno dell'applicazione è un discorso inutile a prescindere...

comunque:

codice:

<?php
    /**
     * Sostituisce %d e %s in '%d' e '%s', e purifica tutti i parametri
     *
     * param    string    $sql    Query non formattata
     * param    string    $params        Parametri da purificare
     * return    string    $sql    Query formattata
     */
    function sqlFormats($sql, $params = array()) {
        // Sostituisce %d & %s in '%s' & '%d'
        $sql  = preg_replace('#%(s|d)#', "'%\\1'", $sql);    
        
        // Purifica tutti i parametri
        if (is_array($params) && count($params)) {
            $args = array();
            foreach (array_keys($params) as $key) {
                $args[] = sqlEscape($params[$key]);
            }
            
            $sql = vsprintf($sql, $args);
        }
        elseif (is_string($params) || is_numeric($params)) {
            $sql = sprintf($sql, sqlEscape($params));
        }
        
        return $sql;
    }

[Alhazred]

Ed sqlEscape() che fa?
Ti rendi conto che stai ricreando ciò che già PHP ti mette a disposizione con funzioni più che collaudate?
Le prepared statement di PDO fanno ciò che fai tu, ma con codice più performante e sicuro.

[zacca94]

Ed sqlEscape() che fa?
Ti rendi conto che stai ricreando ciò che già PHP ti mette a disposizione con funzioni più che collaudate?
Le prepared statement di PDO fanno ciò che fai tu, ma con codice più performante e sicuro.

si ho letto ora la documentazione