ciao a tutti,
avrei un quesito, da un form invio dei dati auno script registra.php che si occupa di prelevare i dati POST inviati dal form e inserirli nel db mysql
prima dell' inserimento questi dati vengono controllati
$pr = "/^[a-zA-Z0-9_]{6,20}$/";
$user = $_POST['user'];
$pass = $_POST['pass'];
if(preg_match($pr, $user) && preg_match($pr, $pass)){
$userDB = mysql_real_escape_string($user);
$passDB = mysql_real_escape_string($pass);
$sql = "INSERT INTO TABLE(user,pass) VALUES('$userDB','$passDB')";
}
la mia domanda è corretto controllare i dati inviati tramite post con le preg_match e poi fare mysql_real_escape_string
oppure è corretto fare l' inverso?
.....insomma volevo un consiglio sul metodo di programmazione migliore?
grazie
Rispondi quotando