जहां तक sql इंजेक्शन का सवाल है, मैं तैयार स्टेटमेंटका उपयोग करके PDO में स्विच करूंगा। ए> ।
आप एक साधारण is_array()
का उपयोग कर सकते हैं एक सरणी की जांच करने के लिए अपने मूल्यों पर और फिर इसके माध्यम से लूप करें। आप सही हैं, वैसे ही, आपका filter
फ़ंक्शन सरणियों को सही ढंग से संभाल नहीं पाएगा।
संपादित करें: यदि आप पीडीओ और तैयार कथन का उपयोग करते हैं, तो आपको mysql_real_escape_string
की आवश्यकता नहीं है इसके बाद। strip_tags
, htmlentities
और trim
डेटाबेस में जानकारी को सुरक्षित रूप से संग्रहीत करने की भी आवश्यकता नहीं होती है, जब आप ब्राउज़र को जानकारी आउटपुट करते हैं तो उनकी आवश्यकता होती है (trim
बिल्कुल नहीं...), हालांकि htmlspecialchars
उसके लिए पर्याप्त होगा। उस समय आप जिस माध्यम से आउटपुट कर रहे हैं, उसके लिए अपनी जानकारी / आउटपुट को सही ढंग से तैयार करना हमेशा बेहतर होता है।