, Обратите внимание, что единственная ситуация, от которой PDO не защитит вас, - это динамические имена таблиц / столбцов. PDO (и mysql_real_escape_string) не будут избегать обратных кавычек `, поэтому старайтесь никогда не использовать динамические имена таблиц или столбцов.
новичок):
if(isset($_POST['selection']))
{
include_once 'pdo_init.php';
$params_str = str_repeat('?,',count($_POST['selection']));
$params_str = substr($params_str,0,-1);
$res = $pdo->prepare('DELETE FROM funcionario WHERE codigo in ('.$params_str.')');
if($res->execute($_POST['selection']))
{
return json_encode(array(
'success' => 1,
'msg' => 'os registros foram deletados com sucesso!'
));
} else {
return json_encode(array(
'success' => 0,
'msg' => 'nao admitimos sql-injection aqui seu safado!'
));
}
} else {
# error out
break;
}