Экранировать вывод, а не фильтровать ввод? [дубликат] ⇐ Php

[Anonymous]

Я хочу знать, безопасно ли хранить данные, полученные из $_POST, $_GET, не очищая их перед вставкой в ​​базу данных, а лишь выполняя некоторую проверку, чтобы проверить, соответствует ли содержимое ожидаемому формату. Например, у меня есть система комментариев, и эти комментарии не могут превышать 3000 символов, поэтому я проверяю, чтобы комментарий не был пустым и не длиннее 3000 символов. При необходимости я также проверяю, является ли это целым числом, адресом электронной почты или URL-адресом, но я никогда не фильтрую входные данные с помощью таких фильтров, как FILTER_SANITIZE_STRING, поскольку они стирают часть содержимого. Я напрямую вставляю значения из $_POST или $_GET в базу данных с помощью PDO.
Пример того, как я это делаю, хотелось бы знать, безопасно ли это .


Подробнее здесь: https://stackoverflow.com/questions/782 ... -the-input