Originariamente inviato da uomo_duff
Salve,

ho un dubbio a cui non ho risposta. I dati che passo nel database passati tramite get e post devo processarli con mysql escape string, quello che mi chiedo è:

serve farlo anche per i dati passati con form select e per quelli con campo hidden?
se lo faccio è superfluo o anche se lo faccio in fin dei conti non è che sia un errore?
TUTTI i dati che ricevi dal client vanno considerati potenzialmente insicuri, non ci vuole niente a manomettere un campo hidden o il valore di una select. Controlla sempre i dati che ricevi e usa i prepared statements per proteggerti dalle injection.