PHP se protegendo de injeções de SQ
Quando envio");--
de um campo de entrada para meu servidor PHP de host local, ele automaticamente o converte em
\ "); -
Parece ótimo, exceto que eu não sei o quão confiável é esse comportamento. Embora pareça evitar injeções de SQL, meu ambiente de desenvolvimento não é o mesmo que o ambiente de produção e receio que o ambiente de produção possa não ter esse tipo de proteção ativada automaticamente ...
Por que o PHP faz isso (converta a entrada sem precisar usarmysql_real_escape_string
)? Será quesempr faz isso ou apenas com certas extensões? É seguro confiar nesse comportamento para evitar injeções de SQL?