Mit der Funktion htmlspecialchars mit PDO vorbereiten und ausführen
Ist das Konvertieren von Sonderzeichen in HTML-Entitäten bei der Formularüberprüfung und Datenbankabfrage mithilfe von PHP PDO mithilfe vonhtmlspecialchars()
Funktion wirklich nötig?
Zum Beispiel habe ich eine Website mit einem einfachen Anmeldesystem, das ungefähr so aussieht wie:
$username = (string) htmlspecialchars($_POST['user']);
$password = (string) htmlspecialchars($_POST['pass']);
$query = $dbh->prepare("select id where username = ? and password = ?")
$query->execute($username, $password);
Hinweis, dass ich neben der fraglichen Funktion auch Typumwandlung verwende. Also, ist das notwendig? Oder ich kann sicher @ verwend$username = $_POST['user'];
?